Le RGPD ou Règlement Général sur la Protection des Données est une loi visant à sécuriser les données personnelles des internautes. Cette loi sera mise en vigueur à partir du 25 mai prochain. Par ailleurs, les éditeurs de logiciel de gestions des interventions sont également concernés par cette loi.
?
Pour le non-respect de cette loi, les entreprises sont confrontées à des sanctions importantes. En effet, le manquement au règlement du GDPR peut être sanctionné jusqu’à 20 millions d’euros, soit 4% du CA mondial.
D’autre part, le RGPD entraîne également un changement au niveau de la loi informatique et Libertés de 1978, révisée en 1995. En d’autres termes, les entreprises n’ont plus l’obligation de faire une déclaration à la CNIL. Maintenant, elles devront se mettre dans un régime de responsabilisation et d’auto-contrôle. En effet, toutes les entreprises devront démontrer à tout moment leur conformité à l’aide d’un registre exhaustif contenant leur exploitation de données personnelles des utilisateurs.
Le RGPD pour le respect de la vie privée des utilisateurs
Le principal objectif du RGPD est de mettre en place la notion de « privacy by design ». En d’autres termes, cette nouvelle loi européenne veut instaurer le respect de la vie privée des utilisateurs dès le lancement d’un service ou une application. Les responsables du traitement de données ne devront donc récolter que le minimum nécessaire pour arriver à la fin indiqué. En outre, les informations récoltées ne peuvent être conservées que pendant une durée déterminée.
Par ailleurs, la notion de « privacy by default » veut instaurer que les entreprises ne font pas seulement qu’établir les dispositifs tels que le chiffrement, anonymisation, etc. afin de sécuriser les données personnelles, mais aussi qu’ils sont réalisés par défaut.
Parmi les lignes du règlement général sur la protection de données, il y a une règle qui est particulièrement soulignée. Il s’agit du consentement de l’utilisateur.
En d’autres termes, toutes entreprises souhaitant exploiter les informations personnelles doivent impérativement avoir le feu vert des utilisateurs en amont. Et ce, en affichant clairement les droits de ces derniers (droit de rectification, droit à l’oubli, droit à la portabilité).
Le RGPD et les risques de fuites de données
Selon les lignes du nouveau règlement européen, les entreprises doivent également avoir un plan précis en cas de fuites de données (data breach). Selon la loi, le responsable a l’obligation d’aviser les autorités dans les prochaines 72 heures. Les victimes du piratage doivent également être informées le plus tôt possible.
Afin d’analyser et cartographier les risques encourus, le RGPD met dans l’obligation les établissements à réaliser des analyses d’impacts préalables (privacy impact assessment, PIA). Mais en amont, toutes les organisations doivent nommer un délégué à la protection des données (Data protection officer, DPO).
Le rôle de ce DPO est d’assurer le respect du règlement sur la protection de données au sein de l’entreprise.
Le sous-traitant de données est également concerné par le RGPD
Le nouveau règlement européen impose également en quelque sorte une co-responsabilité pour le sous-traitant. De cette manière, tous prestataires exploitant des données personnelles doivent également mettre en place une stratégie visant leur sécurité. Il s’agit notamment des hébergeurs, providers, éditeurs en mode Saas, etc.
Pour ce faire, le donneur d’ordre doit informer par écrit ou par contrat le prestataire pour assurer la conformité des sous-traitants.
Par ailleurs, le prestataire a une obligation d’assistance, d’alerte et de conseil. En d’autres termes, ce dernier doit fournir au donneur d’ordre les renseignements nécessaires pour réaliser des audits. Et s’il y a une fuite de données, il doit alerter le responsable de traitement le plus tôt possible.
Les prestataires s’impliquent dans le respect du RGPD
En ne citant que Microsoft Azure, Google Cloud Platform et Amazon Web Services, ces derniers se sont engagés dans la voie du RGPD. Même si ces derniers sont situés hors de l’UE. En effet, le nouveau règlement concerne toutes les utilisations des données des citoyens européens.
Par ailleurs, des établissements comme Praxedo se sont portés volontaire à suivre le GDPR avant même son lancement officiel. En effet, Praxedo a déjà mis en œuvre ses moyens pour sécuriser les données personnelles de ses clients. D’autre part, OVH, le premier hébergeur européen s’engage également sur la conformité au RGPD.
En cas de besoin, vous pouvez directement faire appel à notre service de professionnel pour vous aider.