Le 25 mai 2018, les entreprises européennes devront appliquer le RGDP et s’assurer de la sécurisation des données.
Elles seront entièrement responsables de la chaîne de traitement des données et devront s’assurer des garanties apportées par les sous-traitants et fournisseurs. Les entreprises de plus de 250 salariés devront tenir un registre des activités de traitements effectués. Les entreprises traitant de grandes quantités de données devront nommer un délégué à la protection des données (DPO).
En cas de défaillance (fuite de données, attaque informatique), elles devront en alerter les autorités compétentes dans les 72 heures.
Celles qui ne se mettront pas en conformité prendront le risque de s’exposer à une amende de 20 millions d’euros ou 4% de leur chiffre d’affaires annuel mondial.
Le cabinet Sia Partners évalue la gestion du risque à 30 millions d’euros en moyenne pour un groupe du CAC40, coût justifié par la mise à niveau des systèmes informatiques, le recensement des données concernées, l’analyse des risques et l’organisation des équipes et structures.
Selon une étude réalisée par Vanson Bourne au Royaume-Uni, en Allemagne, en France et en Amérique du Nord, 75% des entreprises rencontreront des difficultés pour respecter l’échéance.
PB N°1 : localiser les données hébergées à la fois en interne et dans le cloud
“La complexité des services informatiques entrave significativement l’aptitude à localiser leurs données à tout moment. Le recours à des sous-traitants complique encore l’identification de l’emplacement de chaque occurrence des données des clients et de leur utilisation. Ils sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability”
Rappelons que l’obligation d’accountability implique pour le responsable du traitement :
- de prendre des mesures efficaces et appropriées afin de se conformer au RGDP ;
- d’apporter la preuve que les mesures appropriées ont été prises (adoption de règles internes et du Privacy by design, nomination d’un DPO, etc.)
PB N°2 : intégrer la confidentialité directement dans le processus de conception de produits et services (Privacy by design).
PB N°3 : le RGPD impose d’obtenir un consentement explicite à des finalités précises. Pour lutter contre le consentement à des utilisations massives, le RGDP exige une corrélation étroite entre l’autorisation du client et l’utilisation effective de ses IPI (Informations Personnellement Identifiables).
PB N°4 : le « droit à l’oubli » (article 17 du GDPR).
http://www.silicon.fr/la-facture-salee-que-le-gdpr-prepare-aux-entreprises-176099.html
http://www.zdnet.fr/dossier/rgpd-tout-comprendre-4000237620.htm
https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes