Le 25 mai 2018, le nouveau règlement général sur la protection des données (RGPD) sera appliqué dans tous les Etats membres européens. Il s’agit là d’une petite révolution à l’échelle de l’entreprise qui approche à grands pas.
Mais comment s’y préparer dès à présent ? Tamzin Evershed, Legal Director EMEA chez Veritas, fait le point sur les trois principales actions à mener pour aider les entreprises à se conformer à ce règlement, et ce, quel que soit leur secteur ou leur taille.
Tout d'abord, il est fort probable que toute entreprise ayant des clients et des partenaires appartenant à l'Union Européenne soit également concernée par le RGPD. Une chaîne mondiale de conformité sera obligatoire, et les données personnelles ne pourront quitter l'Espace économique européen, sauf à être protégées par des garanties identiques à l’extérieur de l’UE.
Toutes les sociétés basées en dehors de l’UE, mais proposant des biens et services à des clients établis dans les Etats Membres, devront également se conformer au RGPD, qu’elles soient ou non propriétaires des données. Tout manquement à l’une des règles du RGPD pourrait être très préjudiciable pour l’entreprise. En effet, les amendes vont de 2% du chiffre d'affaires mondial annuel de l'exercice précédent pour des infractions mineures, jusqu’à 4% ou 20 millions d’euros pour des infractions plus conséquentes. Il n’est donc plus envisageable pour une société de mettre en balance le coût de la conformité et celui d’éventuelles poursuites.
Maîtriser le « Databerg »
Pour protéger les données personnelles tout en étant conforme au RGPD, une entreprise a besoin de savoir précisément où sont stockées ses données. Cependant, en moyenne, 52% de celles-ci sont des « dark datas », comme indiqué par une récente étude menée par Veritas[1]. Il s’agit de données situées sous la ligne de flottaison, telles la partie immergée de l’iceberg. Ne sachant pas de quelles données elle dispose ou non, une entreprise ne peut pas être conforme.
Les personnes ou les équipes chargée de la conformité doivent tenir des registres de traitement des données personnelles. Ils doivent déterminer si celles-ci quittent l'Union européenne afin de mettre en place les règles de protection adéquates, et également être en mesure de savoir s’il est nécessaire de conserver ces données, et les supprimer dans le cas contraire. Pour pouvoir disposer d’une telle vision à 360 des données, trois mesures peuvent être mises en place :
- Interroger les salariés sur les processus de gestion des données utilisés.
- Etendre cette enquête afin d’obtenir des renseignements sur le fonctionnement propre du système.
- Utiliser des outils techniques pour éradiquer le phénomène du « Databerg » et repérer les « dark data ».
Etre prêt en interne pour trouver rapidement les données
Chaque citoyen de l'Union européenne dont les données à caractère personnel font l’objet d’un traitement disposera des mêmes droits en matière de protection des données. Par exemple, chacun d’entre eux disposera d’un droit d’accès aux données le concernant, et pourra exiger leur suppression. Le règlement précise que l’entreprise aura alors un mois pour s’exécuter. Même s’il est possible d’étendre ce délai pour un mois supplémentaire, la société devra s’assurer qu’elle est en mesure de se procurer les données concernées, rapidement. Comment s’en assurer ?
Pour être en mesure de répondre à cette demande dans les délais impartis, maitriser le « Databerg » est essentiel et doit conditionner toutes les décisions. Voici quelques règles pour répondre à cette problématique :
- Mettre en place une méthode permettant de transmettre facilement et rapidement les données personnelles collectées à l'équipe de conformité pour examen. - Créer des procédures pour assurer que ces données soient, le cas échéant, communiquées / supprimées / corrigées / conservées.
- Créer des logs vérifiables pour faire état des actions qui auront été menées.
Ne pas oublier l’essentiel et analyser votre niveau de protection des données
La pierre angulaire de la confidentialité des données reste la protection des données. Celles qui sont stockées par l’entreprise doivent être protégées contre la perte, la détérioration et la destruction. Il est donc essentiel de faire en sorte qu’elles soient sauvegardées, pour pouvoir les récupérer. Cela semble semble être la tâche la plus simple du RGPD à réaliser, mais elle ne doit pas pour autant été sous-estimée. Si les entreprises procèdent à l’analyse de leur « Databerg », elles vont très probablement s’apercevoir que leurs données sont fragmentées entre différentes zones de stockage. Elles en trouveront au sein de systèmes virtualisés, d’infrastructures cloud et d'autres systèmes et d’emplacements allant des appareils mobiles aux services de stockage cloud partagés. Une nouvelle fois, voici quelques mesures visant à disposer d’une stratégie de sauvegarde et de résilience prenant en compte ces infrastructures fragmentées :
- Mettre en place une stratégie de sauvegarde et de restauration qui intègre des scénarios physiques, virtuels et de cloud hybride de manière centralisée, pour en assurer une meilleure gestion.
- Obtenir un aperçu de tous les services cloud existants, ainsi que les données qui y sont stockées, et éduquer les employés à leur bonne utilisation.
- Mettre en place un concept de basculement qui garantira l'accès aux services cloud, mais également la résilience des services eux-mêmes.