RGPD : protéger les données personnelles, un vrai chantier…
Le règlement général sur la protection des données (RGPD) a été transposé dans la loi française en mai 2018. En cas de non-respect de ce texte, des sanctions allant jusqu’à 4% du chiffre d’affaires mondial du contrevenant ou 20 millions d’euros peuvent être appliquées. Les entreprises doivent donc se mettre en conformité sans délai.
De nouvelles règles ont accompagné l’arrivée du RGPD en Europe (règlement général sur la protection des données) : la demande du consentement lors de la collecte de données personnelles, le droit à l’effacement de ces données, le droit à leur portabilité, une obligation de communication, en cas de fuite ou de vol de données personnelles, etc.
Parmi toutes ces règles, une concerne plus particulièrement le système d’information et les processus de l’entreprise : le privacy by design, ou, en d’autres termes, la prise en compte de la problématique de la protection des données personnelles dès la conception des systèmes et outils susceptibles de les collecter, stocker et exploiter.
L’entreprise doit pouvoir démontrer qu’elle a fait tout son possible pour protéger les données de ses clients (mais aussi de ses salariés). Ceci passe tout d’abord par la sécurisation des équipements informatiques : chiffrement des données, installation de mots de passe forts. L’objectif est ici d’éviter une fuite de données, si du matériel venait à être volé.
La mise en place d’outils de sécurité de nouvelle génération sur chaque poste et serveur est également recommandée. En cas d’attaque informatique réussie, leur absence pourrait en effet être considérée comme une forme de négligence de la part de l’entreprise.
Revoir les habilitations et processus
L’autre aspect est logiciel. Chaque outil ou site web collectant des données personnelles doit être adapté afin de demander le consentement des personnes concernées. Chaque logiciel ou service se doit également d’être certifié conforme au RGPD. C’est à l’entreprise de vérifier que ses fournisseurs et prestataires sont bien en règle.
Les droits d’accès aux données doivent être définis en fonction des habilitations de la personne y accédant. Cette personne devra, bien évidemment, être informée de ses droits et devoirs en la matière. Les habilitations dépendent du poste occupé au sein de l’entreprise. Elles sont définies conjointement par les métiers, la DSI (direction du système d’information) et la DRH (ressources humaines). Cette dernière se chargera de faire remonter tout changement (arrivée, départ, mutation), afin que les droits d’accès accordés au salarié concerné soient modifiés en conséquence.
Chaque processus doit être étudié sous l’angle de la protection des données personnelles. Au sein d’une usine, les ordres de production, par exemple, seront anonymisés, le nom du client n’apparaissant que sur les pièces comptables (devis, factures…) et le bordereau de livraison émis par le magasinier, lors de l’envoi de la marchandise. Pour chaque processus, il convient de déterminer si des données personnelles sont présentes… et si elles sont nécessaires.
Mettre en place des équipes adaptées
Se mettre en conformité avec le RGPD n’est pas un travail ayant un début et une fin. À chaque fois qu’un processus est mis en place ou modifié, qu’un nouveau produit ou service est commercialisé, qu’un logiciel ou service cloud est adopté, il faut évaluer l’impact sur les données personnelles et leur protection.
Ce travail de longue haleine justifie la mise en place d’un délégué à la protection des données (DPO, Data protection officer ), idéalement assisté de référents à la protection des données présents dans chaque service. Il peut être bon également de faire intervenir un archiviste. Ne conserver les données que le temps nécessaire au service limitera, en effet, le volume des informations susceptibles de fuiter.
David FEUGEY