Nous utilisons des témoins à des fins d’analyse du Site Web, de statistiques, de profilage et de reciblage publicitaire. Nous pouvons aussi partager de l’information sur votre utilisation du Site Web avec nos partenaires publicitaires et analytiques. Vous pouvez désactiver les témoins dans les paramètres de votre navigateur à tout moment. Politique de confidentialité .
FERMER X
 Dans Blogue, Général, Sécurité, Technologie

Le Règlement général sur la protection des données (GDPR) entrera en vigueur le 25 mai 2018

Comme vous le savez probablement, le Règlement général sur la protection des données (GDPR), l’un des règlements les plus importants et les plus ambitieux en matière de protection des données, entrera en vigueur le 25 mai cette année. Le GDPR affectera les entreprises à l’échelle mondiale, mais un nombre surprenant d’entreprises ne sont toujours pas prêtes.

Après l’entrée en vigueur du GDPR, les entreprises du monde entier qui traitent sans précaution, exploitent ou perdent des données personnelles des citoyens de l’Union européenne s’exposeront à des sanctions financières lourdes, allant jusqu’à 4 % de leur chiffre d’affaires annuel. Les entreprises s’exposent également à des sanctions si elles n’informent pas leurs clients qu’elles ont été victimes de piratage. Malgré les risques que représente la non-conformité au GDPR, un sondage récemment réalisé par le gouvernement au Royaume-Uni a révélé que seulement 38 % des entreprises déclarent avoir entendu parler du GDPR, et que seulement un quart de ces entreprises ont commencé à adapter leurs opérations pour s’y préparer. L’entrée en vigueur du GDPR dans l’Union européenne étant une mesure pour protéger les données de ses citoyens, il est facile d’imaginer le rythme auquel la majorité des entreprises nord-américaines se préparent pour s’y conformer.

Avec plus de 35 ans d’expérience dans le secteur de la haute technologie et des communications unifiées, le directeur général d’AVST, Tom Minifie, a déjà connu plusieurs changements en matière de conformité réglementaire, et a pu ainsi observer leurs répercussions sur les entreprises. À l’occasion de la séance de formation, Le GDPR et son impact sur la sécurité, de l’Union européenne aux États-Unis, qu’il a tenue lors de la conférence Enterprise Connect le mois dernier, Tom a abordé les principaux aspects du règlement à venir, et a dévoilé certaines mesures pratiques que les entreprises peuvent adopter pour s’y préparer.

1. Le consentement : obtenir et conserver des données à caractère personnel

L’une des principales exigences du GDPR contraint les entreprises à obtenir le consentement des citoyens de l’Union européenne si elles souhaitent acquérir leurs données à caractère personnel. Les entreprises devront également faire preuve de transparence en ce qui concerne la finalité de la conservation desdites données —  ce qui nécessitera la plupart du temps l’élaboration de nouvelles politiques de confidentialité claires incluant des lignes directrices en matière de conservation des données.

« Chaque personne qui fait affaire avec vous et qui représente pour vous une occasion de recueillir des données à caractère personnel sur elle doit pouvoir donner explicitement son consentement préalable au traitement de ses données. La personne qui va commander sur un site Web sait pertinemment qu’elle vous livre des données personnelles. Elle saisit son numéro de carte de crédit en toute connaissance de cause, mais cela ne signifie pas pour autant que vous pouvez le conserver », explique Tom Minifie. « De manière générale, sur Internet, il sera désormais possible de donner son consentement préalable au traitement de ses données […] C’est ce genre d’opérations qui va devenir obligatoire. »

Améliorer la transparence des différents types d’opérations qui permettent de recueillir des données personnelles sera un processus différent d’une entreprise à l’autre. Malgré la longueur d’avance des établissements du domaine médical, public et financier lorsqu’il s’agit de communiquer les finalités des données à caractère personnel et la manière dont ils les obtiennent, les implications du GDPR ont une portée beaucoup plus vaste. Autrement dit, les magasins de détail devront énoncer les raisons pour lesquelles ils demandent les adresses électroniques des clients au moment du paiement, les OSBL devront également faire preuve de franchise après avoir obtenu le consentement pour exploiter les renseignements personnels utilisés dans les sondages, etc.

2. Redéfinir les termes clés du GDPR : sous-traitant et responsable du traitement des données

Les personnes qui commencent à se familiariser avec les bases du GDPR, sont en mesure de comprendre des termes importants comme sous-traitant et responsable du traitement des données, qui sont probablement des termes propres aux grandes entreprises qui ont besoin de leur expertise, mais Tom Minifie leur donne une définition beaucoup plus large :

« Fondamentalement, tout fournisseur de services dans le Cloud est un sous-traitant. Les personnes qui traitent des données ne conservent pas forcément ces données ou ne vont pas systématiquement les exploiter pour leur propre compte, mais si ces données passent par leurs ressources, alors ces personnes sont des sous-traitants.

AVST est un sous-traitant. Nous proposons de nombreuses solutions dans le Cloud à nos clients. Nous hébergeons des solutions de communications et nous offrons une solution de sécurité à notre clientèle. Les clients utilisent notre service hébergé, nous sommes donc des sous-traitants de ces entreprises. Le responsable du traitement des données est donc l’entreprise. »

Certaines entreprises comptent déjà un sous-traitant et un responsable du traitement des données parmi leurs employés. Mais il est important pour toute entreprise qui traite des données à caractère personnel de comprendre qu’assurer un traitement rigoureux de ces données relève de la responsabilité de l’entreprise dans son ensemble, et pas seulement de la direction et des employés responsables de la conformité.

3. Les questions à se poser

Enfin, Tom Minifie a donné quelques conseils sous forme de questions essentielles pour aider les entreprises qui commencent à réfléchir à la meilleure manière de se conformer au GDPR :

« Tout d’abord, évaluez votre situation. Quel genre de données à caractère personnel possédez-vous ? Quel genre de données à caractère personnel conservez-vous et quelle en est la finalité ? Avez-vous une politique de confidentialité qui permet aux personnes de savoir que vous avez accès à leurs données à caractère personnel ? Cette politique de confidentialité explique-t-elle pourquoi vous possédez leurs données ? Quelles données possédez-vous exactement et pourquoi en avez-vous besoin ? Qu’allez-vous en faire ? Avez-vous mis en place des solutions de continuité des activités, de haute disponibilité/reprise après sinistre ? Pouvez-vous affirmer haut et fort : “nous sommes les protecteurs de ces données, et nous n’allons pas les perdre ?” Même si vous perdez un serveur ou autre et les données qui y étaient stockées, dans le cadre d’une panne informatique, vous ne pouvez pas vous contenter de dire “tant pis, nous les avons perdues”. C’est inacceptable. Vous devez également être capable de récupérer ces données. »

Un règlement de l’envergure du GDPR qui contraint les entreprises à reconsidérer la manière dont elles obtiennent et traitent des données, peut s’avérer intimidant pour les entreprises quelle que soit leur taille. Parfois, la meilleure façon de surmonter la complexité consiste à évaluer rationnellement la situation actuelle de votre entreprise et à prendre des mesures, pas nécessairement spectaculaires, afin de poursuivre votre progression vers la conformité.

Pour écouter la présentation de Tom Minifie dans son intégralité, dans laquelle il aborde tous les aspects du GDPR, de la mise en œuvre de contrôles de sécurité à la désignation d’un délégué à la protection des données, cliquez ici.

 

Vous souhaitez vous conformer rapidement au GDPR ? Parlez à un spécialiste dès aujourd’hui des solutions qui feront passer votre entreprise au niveau supérieur en matière de sécurité, de transfert et de conservation des données.

 

PARLEZ À UN EXPERT

 

Leave a Comment