La bonne gouvernance des données s’impose comme une priorité confortée par le Règlement général sur la protection des données (RGPD). ITS Group fait le point.
L’explosion du volume de données est une réalité concrète qui impacte profondément le fonctionnement de l’entreprise. La tendance va s’accélérer ces prochaines années. Dans ce contexte, la bonne gouvernance des données s’impose comme une priorité désormais sanctuarisée dans le cadre du Règlement général sur la protection des données (RGPD).
Qu’est-ce que le RGPD ?
Le Règlement général sur la protection des données (en anglais : General Data Protection Regulation, GDPR) constitue le nouveau texte européen de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Après quatre années de négociations législatives, le nouveau règlement européen sur la protection des données a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions seront directement applicables à compter du 25 mai 2018 par toute entreprise traitant des données personnelles de citoyens européens. Ce règlement remplacera l’actuelle directive sur la protection des données personnelles adoptée en 1995 (article 94.1 du Règlement).
Nouveaux enjeux
De nos jours, les pertes et vols de données personnelles sont, à l’image de l’évolution du stockage, de plus en plus nombreux, ce qui motive le renforcement du règlement appuyé par des amendes dissuasives. Le RGPD sanctuarise ainsi de nombreuses dispositions qui doivent être suivies, faute d’être sanctionnées. Il s’agit précisément du traitement des données et des interdictions d’utiliser certains éléments, par exemple les origines ethniques, les opinions politiques, l’appartenance syndicale, etc. Il faut également en cas de violation des données à caractère personnel en informer la CNIL en moins de 72 heures et prendre des mesures appropriées.
Référent data (DPO)
Le RGPD implique aussi de nommer un délégué à la protection des données (DPO ou Data protection officer) : un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle. Ce personnage-clé occupe donc un rôle central et veille à la bonne application des règles définies par la loi. On notera que les sociétés peuvent désigner un délégué interne ou externe à leur structure. Ce référent devra ensuite mettre en œuvre une démarche globale visant à cartographier l’existant, prioriser les actions à mener pour se conformer aux obligations, gérer les risques, mettre en place des procédures internes garantissant la prise en compte de la protection des données à tout moment et enfin documenter les traitements des données personnelles.
L’approche RGPD résumée
– Identifier les données
– Classifier et minimiser les données personnelles
– Définir les droits et politiques d’accès
– Contrôler, alerter et bloquer
– Revoir, certifier et investiguer
Le RGPD va donc profondément faire évoluer la donne et amener les entreprises à revoir leur approche du traitement des données personnelles dont elles disposent. On notera également que faute de respecter les obligations du RGPD, les entreprises s’exposent à de lourdes sanctions financières pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. Attention donc à positionner ce sujet-clé comme une priorité et à mettre en œuvre un dispositif adapté afin de respecter cette nouvelle directive qui sera applicable dans moins d’un an. Le temps presse pour se mettre en conformité !
par Jérôme Etienne, responsable BU sécurité et réseau de l’ESN ITS Group.
Lire également :
GDPR : un levier pour l’économie numérique européenne (avis d’expert)
GDPR : les clés d’une sauvegarde de données conforme (avis d’expert)