Le Règlement européen sur la protection des données personnelles entrera en vigueur en mai 2018. Or, la plupart des organisations ne sont pas encore prêtes, voire n’ont même pas initié de stratégie ! En se tournant vers un partenaire, elles peuvent trouver les réponses adaptées à leurs problématiques, éviter les sanctions, et leur permettre de prioriser la protection de leurs données. Accélérez la mise en conformité avec la GDPR permet également de justifier la dépense associée.
GDPR (General Data Protection Regulation), également appelée RGPD (Règlement général sur la protection des données) en France, deviendra le 25 mai 2018 le Règlement européen sur la protection des données. Il sera applicable à toutes les entreprises et organisations publiques et privées en France, dans l’Union européenne, ainsi qu’à celles qui hors de l’Europe traitent des données personnelles provenant d’organisations et de ressortissants européens.
Perçue par beaucoup d’entreprises comme une contrainte, la GDPR doit également être perçue comme un avantage. En effet, alors qu’elle représentera un changement modéré pour celles qui respectent déjà toutes les recommandations de la CNIL (Commission nationale de l'informatique et des libertés), elle est applicable à tous les Etats membres de l’Union européenne. Elle impose ainsi un cadre unique et harmonisé à la protection des données personnelles, ceci pour limiter les risques de concurrences.
Les entreprises se devant de protéger les données de leurs collaborateurs et de leurs clients, nonobstant l’application de la GDPR, on pourrait s’attendre à ce que le respect de l’application de celle-ci soit une simple formalité. C’est d’autant plus vrai que le sujet est fortement médiatisé, et qu’à ce titre la plupart des entreprises sont au fait de cette actualité, de son échéance et des sanctions qui l’accompagnent. Cependant, la réalité n’est pas aussi simple : la plupart des entreprises n’ont soit pas démarré ce déploiement, soit n’ont pas d’idée de l’impact qu’il aura sur elles.
Posons la priorité : la prévention
L’objectif du législateur européen n’est pas de sanctionner les entreprises, même si le volet répression de la GPRD impressionne et pourrait faire mettre la clé sous la porte à celles qui se risqueraient à ne pas la respecter ! L’esprit du règlement européen est plutôt celui de la prévention, ce qui d’ailleurs se caractérise par un certain flou sur les textes, en particulier sur la mise en application des mesures. Ce qui laisse une certaine latitude aux entreprises dans sa mise en œuvre.
Certes, le risque zéro n’existe pas, mais l’entreprise doit évaluer le risque et le diminuer au maximum. La priorité étant d’éviter de se faire attaquer et d’être soumise à des demandes de rançons ! D’où l’importance de mettre en place une politique de prévention notamment à travers des outils de gestion des évènements et des informations de sécurité de type SIEM (Security Information and Event Management). Trop d’entreprises ne sont pas encore dotées d’outils de surveillance et de prévention, mais pour autant, même si la démarche est assez nouvelle, des solutions existent. Les éditeurs ont su adapter leurs offres afin de les rendre accessibles, y compris aux PME, avec des solutions simples et peu coûteuses, car surveiller c’est déjà protéger !
Posons l’objectif : mettre en place et documenter la GDPR avant la fin de l’année…
C’est là une des missions du partenaire choisi par l’organisation pour l’aider dans cette transition : accompagner l’entreprise pour lui permettre d’anticiper et comprendre où elle en est. L’objectif étant que cette dernière puisse respecter le Règlement européen dans les temps. Même si de nombreux outils sont déjà en place, tel qu’un système de sauvegarde ou un antivirus, cela ne suffit pas et l’entreprise doit se demander comment protéger aux mieux les données de ses utilisateurs. La réponse se déroule en trois étapes :
1 - L’entreprise doit commencer par évaluer son niveau de maturité sur la GDPR.
2 - Elle doit ensuite adresser les points technologiques qui ne sont pas corrects ou n’ont pas été mis en place localement.
3 – Elle doit respecter l’échéance, et elle doit documenter chacune des étapes, c’est important !
Ce n’est pas grave si tout n’est pas mis en place en mai 2018, à condition que l’entreprise se soit engagée sur la voie de la réduction des risques. Accompagnée par son partenaire, elle aura défini des niveaux de priorités selon les métiers, les solutions en place et les projets stratégiques, tout en ayant repérée les points de décalage. La mise en place de maquettes validera la pertinence des solutions choisies avant tout déploiement. Il ne faudra pas oublier de documenter toutes les étapes, c’est à dire d’aider à la rédaction de la documentation spécifique à la Réglementation, et de collecter et centraliser ces documents dans un espace, si possible collaboratif.
Certes, la démarche GDPR est nouvelle. La protection des données de l’utilisateur passe par exemple par l’anonymisation des données et par le contrôle d’accès des environnements et des applications. Les différents interlocuteurs de l’informatique tels que le DSI (directeur informatique), le RSSI (responsable de la sécurité) ou le CISO (Directeur de la sécurité rattaché au Comex) doivent impérativement se parler et échanger avec leur partenaire. C’est la condition d’une part pour réduire le risque, mais également pour définir et justifier une dépense par rapport à un résultat non visible. L’échéance est proche, mais il est encore temps de réagir et de trouver les réponses pour se montrer respectueux du Règlement européen sur la protection des données.