Il y a urgence pour les entreprises à se conformer au Règlement général sur la protection des données (RGPD ou GDPR en anglais). Le texte entrera en vigueur le 25 mai 2018.
Rappelons que le RGPD indroduit de nouveaux droits pour les personnes (dont la portabilité des données) et des obligations pour les entreprises (dont la notification de toute violation de données à la CNIL). Le texte renforce également les sanctions administratives à l’encontre des responsables de traitement et des sous-traitants en infraction. Avec des amendes pouvant s’élever de 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise concernée ou 10 à 20 millions d’euros.
Trois organisations – L’Association française de l’audit et du conseil informatiques (AFAI), le Cigref (qui représente les DSI de grandes entreprises françaises) et Tech in France (les éditeurs de logiciels) – se sont mobilisées sur le sujet dès l’été 2016. Elles ont engagé l’initiative « données personnelles et systèmes d’information » (DPSI) pour sensibiliser les clients et les fournisseurs. Et produire un guide pratique. Le tout avec le soutien de cabinets d’avocats et la participation « régulière » de la Commission nationale informatique et libertés (CNIL).
Les résultats de leurs travaux ont été restitués cette semaine et publiés sous la forme d’un document de 144 pages. « La mise en conformité au GDPR implique des changements de taille au sein des entreprises », expliquent l’Afai, le Cigref et Tech in France. Leurs travaux ont donc pour objectif de les aider à « élaborer un dispositif complet de protection des données ».
Le document rendu public mercredi 14 novembre inclut :
Les entreprises peuvent répondre à 50 questions. Elles ont ainsi la possibilité d’évaluer leur niveau de conformité au Règlement européen.
Elles sont plus de 300, ces recommandations et mesures axées sur la sécurité du SI, la protection des données et le droit des personnes.
Les entreprises doivent « être à tout moment en mesure de démontrer leur conformité au règlement », expliquent les trois organisations.
Par ailleurs, elles mettent en exergue l’intégration de la protection des données dès la conception (privacy by design). Et ce pour un projet, produit ou service de traitement. Mais également « par défaut ». En réduisant tout traitement de données personnelles « au minimum nécessaire », conformément au principe de minimisation introduit par le RGPD.
Dans ce contexte, « certains systèmes legacy devront potentiellement faire l’objet de privacy by re-design s’ils sont sensibles », ajoutent les organisations professionnelles.
L’Afai, le Cigref et Tech in France recommandent entres autres mesures :
« Au sein des entreprises, la conformité doit être gérée comme un projet », estiment l’Afai, le Cigref et Tech in France. « Avant d’être juridique ou légal, ce projet est global. Avec une forte composante SI, puisque la mise en conformité nécessite la mise en place de mesures techniques liées à la sécurité des systèmes d’information et à la protection des données, ajoutent-ils. Il est donc absolument crucial, selon eux, d’y consacrer un budget qui soit proportionnel à l’enjeu. »
Lire également :
Règlement européen sur la protection des données : ce qu’en pensent les entreprises
Données personnelles : Afai, Cigref et Tech in France planchent sur le règlement de l’UE
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…