Appliqué dès le 25 mai 2018, le GDPR prévoit des sanctions représentant jusqu'à 4% du chiffre d'affaires annuel. Comment éviter de telles amendes ?
Renforcer la sécurité des traitements de données et encadrer leur libre circulation : c'est l'ambition du nouveau règlement européen « General Data Protection Regulation » (GDPR). L'objectif de Bruxelles : inciter les entreprises à mieux sécuriser leur système d'information (SI) pour réduire les risques de fuites d'informations personnelles. Mais aussi redonner aux citoyens le contrôle de leurs données.
Appliqué dès le 25 mai 2018, ce règlement prévoit des sanctions administratives et financières en cas de non-respect du règlement : jusqu'à 4% du chiffre d'affaires annuel. Comment se mettre aux normes et éviter d'être épinglé par Bruxelles ? Réponses en 4 actes.
Identifier et qualifier les traitements de données personnelles
Il est d'abord impératif d’identifier et qualifier les traitements de données à caractère personnel. Pour chaque traitement de données, il est nécessaire de définir le responsable du traitement, sa finalité, le nombre de personnes concernées, les types de données personnelles collectées ou encore l’implication de sous-traitants. Cette base servira à alimenter le registre des traitements, tenu par exemple par le data protection officer, pour compiler les informations utiles concernant la data. Un journal des mouvements de données doit également être formalisé (notifier l’origine, la durée d’utilisation, le volume de données créées) et sera exigé par la Cnil lors d’un contrôle. En cas de fuite de données, plus une société sera en mesure de démontrer des actions de formalisation et de mise en conformité GDPR, moins les sanctions seront importantes.
Optimiser la collecte de données personnelles
Pour éviter un incident d’ampleur, il est préférable de réduire au maximum la quantité d’informations collectées : c’est le principe de la minimisation. Pourquoi récupérer un numéro de téléphone quand une adresse email suffit pour envoyer une newsletter ? Minimiser la collecte de data personnelle permet de diminuer sa surface d'exposition numérique et donc de réduire l’ampleur d’une fuite en cas de cyberattaques.
Responsabiliser tous les maillons de la chaine
Sensibiliser le personnel à la cybersécurité et à la protection des données personnelles est indispensable pour distiller les bons réflexes. Il est aussi capital que le sous-traitant soit audité. Il convient d’envisager une mise à niveau des contrats pour y intégrer les exigences GDPR (clauses de réversibilité, mention de la propriété des données, gestion des incidents, etc.). Ce droit d'audit, généralement stipulé dans le contrat entre client et fournisseur, incitera les sous-traitants à augmenter leur niveau en matière de protection des données, d’autant plus si le traitement de données est jugé critique.
Renforcer la sécurité du SI
Il est enfin conseillé de renforcer la protection de son système d'information. Le GDPR agit comme un levier afin d’inciter les entreprises à franchir certains pas en termes de sécurisation du SI, un peu comme l’a été SOX dans les années 2000 pour le contrôle interne. Classification des données, analyses de risques, double authentification, IDS, outil de scan de vulnérabilités... les entreprises doivent mettre en place des mesures de sécurité importantes. La mise à niveau passera aussi par le lancement de tests de pénétration pour évaluer les vulnérabilités.
Dernière recommandation : éviter de transférer des données hors de l’UE (hébergement) ; le cas échéant l’application de règles d’entreprises contraignantes devra être prouvée.