Le RGPD exige une nouvelle approche de la sécurité ICT

Le Règlement Général sur la Protection des Données (RGPD) (en anglais : General Data Protection Regulation, GDPR)  de l’Union Européenne ouvre la voie vers une nouvelle ère de la confidentialité des données pour l’UE et le monde entier. 

EU GDPR Overview

Qui est concerné ?

Le GDPR s’applique à tous les acteurs économiques et sociaux proposant des biens et services sur le marché de l’Union Européenne dès lors que leur activité traite de données personnelles relatives à des résidents de l’UE.

Qu‘est-ce qu’une donnée à caractère personnel ?

Le règlement stipule qu’il s’agit de « toute information concernant une personne physique identifiée ou identifiable », directement ou indirectement. Des données indirectement identifiantes, telles qu’un numéro de téléphone, ou un identifiant, sont donc concernées.

De même, les données comportementales collectées sur Internet (notamment recueillies dans le cadre d’actions marketing), si elles sont corrélées à une identité, deviennent des données à caractère personnel.

Quelles obligations pour les entreprises ?

Le nouveau règlement européen oblige les entreprises de prouver à chaque moment que l’entreprise protège les données. Dès lors, la structuration même des outils permettant la collecte des données (CRM, DMP, solutions de tracking ou de géolocalisation, …), mais aussi les contrats passés avec les sous-traitants et clients sont impactés.

Par ailleurs, les entreprises ont, entre autres, l’obligation de donner la finalité précise de la collecte des données (il s’agit du principe de minimisation, un des grands principes de la dataprotection, qui impose que seules les données nécessaires à la finalité poursuivie pourront être collectées).

Le GRPD impose également le principe de conservation limitée des données, ainsi que celui de coresponsabilité des sous-traitants et des entreprises en matière de protection des données, qui permet de distribuer les responsabilités en fonction de la mainmise de chacun sur les données.

Enfin le GRPD exige que les entreprises notifient les violations de données dans un délai de 72 heures.

Délais et impacts ?

Fin mai 2018, toutes les organisations devront être en conformité. Sachant que les amendes peuvent atteindre jusqu’à 4 % de votre revenu annuel en cas d’atteinte à la protection des données, vous ne pouvez pas vous permettre d’attendre – il est temps de repenser votre stratégie de confidentialité, de sécurité et de gouvernance des données.

Source : : www.daf-mag.fr

Contactez-nous sans aucun engagement

Nous nous ferons un plaisir de vous éclairer