• Page Fond menu
Accueil > Blog > Les enjeux du RGPD pour l'entreprise
< Retour

Les enjeux du RGPD pour l'entreprise

29 / 03 / 2018 | Expert

 

LES ENJEUX DU RGPD 

 

Avec le Règlement Général de Protection des Données, l’entreprise devient Responsable devant la Loi du traitement des données personnelles.

 

Parallèlement, la généralisation des réseaux, l’avènement des technologies du cloud et les besoins de mobilité croissants périment le modèle de sécurisation périmétrique.

 

Face à ce double enjeu, la sécurité des données ne sera plus conditionnée à l’endroit où elles sont stockées mais à la façon dont on les stocke.

 

Qu'est ce que le RGPD (Ou GDPR) ?

 

Le Règlement Général sur la Protection des Données (General Data Protection Regulation) est un règlement adopté par le Parlement Européen. C’est un outil de souveraineté européenne dont les finalités sont triples :

  • Renforcer les droits des personnes 
  • Responsabiliser les acteurs traitant les données 
  • Crédibiliser la régulation et renforcer la coopération entre les Autorités Nationales

 

Respect de la vie privée et sécurité des données doivent désormais être au cœur de la conception logicielle des systèmes d’information.

 

Le RGPD au coeur des systèmes d'information

 

Les données personnelles des citoyens de l’Union Européenne devront désormais être confidentielles et sécurisées, ce qui implique une transformation des systèmes d’information de toutes les entités, organisations et entreprises, européennes ou non, qui traitent les données des Européens.

 

Les systèmes d'information doivent être repensés selon le principe général de protection des données dès la conception, soit :

 

  • Privacy by design 
  • Security by default 

 

Données sensibles et données personnelles

 

Les données sensibles telles que raciales, ethniques, religieuses, philosophiques, politiques, syndicales, génétiques, biométriques, médicales, vie privée ou orientations sexuelles sont, sauf exception (comme la recherche médicale), soumises au régime d’interdiction.

 

Les données personnelles, permettant une identification directe ou indirecte des personnes,  sont soumises au RGPD.

 

De nouveaux droits pour les citoyens européens

 

Après le vote du « Patriot Act » suite au 11 septembre 2001, les données personnelles des citoyens de l’Union européenne ont été mises à mal par le « Safe Harbor ». Cet ensemble de principes de protection des données qui permettait aux entreprises américaines de transférer des données personnelles des citoyens européens vers les États-Unis a été invalidé le 6 octobre 2015, par la Cour de justice de l'Union européenne.

 

Le RGPD donnera désormais à tous les citoyens de l’Union européenne les droits suivants :

  • Droit d’accéder et d’effacer ses données personnelles 
  • Droit à l’objection, à la rectification et à la suppression 
  • Droit de portabilité sur ses données personnelles 
  • Le consentement du citoyen doit être clair et explicite

 

De nouveaux devoirs pour les entreprises

 

Réciproquement, le RGPD fait peser sur les entreprises, responsables de données personnelles, un ensemble de devoirs :

  • En tant que responsable du traitement elles deviennent Responsable des Données selon le principe d’ «Accountability »
  • Obligation de tenir un registre des traitements
  • Désigner un pilote : le Data Protection Officer (DPO) ou Responsable des Données Personnelles (RDP)
  • Réaliser l’inventaire des données et documenter les pratiques
  • Obligation de déclarer aux Autorités les fuites de données dans un délais de 72 heures

 

En cas de manquement, les sanctions vont jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.

 

L’entreprise n’a pas obligation de résultats mais obligation de moyens renforcés, c’est à dire au regard de l’État de l’Art.

 

Principe d'Accountability

 

L’entreprise devient responsable du traitement des données personnelles, directes ou indirectes concernant une personne physique, que la personne soit identifiée ou identifiable, que le traitement soit automatisé ou non.

 

Le responsable du traitement est considéré comme l’acteur économique responsable, et en tant que tel il lui revient de prendre les mesures pour garantir la protection des données personnelles :

  • Déterminer les finalités
  • Documenter les traitements
  • Recueillir les consentements explicites
  • Donner accès aux données
  • Permettre leur effacement ou leur portage

 

Le RGPD impose une rupture dans la manière de stocker les données

 

Pour les entreprises, l’avènement du Règlement Général de Protection des Données se présente comme une rupture stratégique à la fois juridique et technique.

 

Depuis l’invention de l’informatique, la sécurité des données a toujours été calquée sur la sécurité physique et périmétrique. A l’image d’un château-fort du Moyen-Age, c’était l’épaisseur des murs qui assurait le niveau de défense. C’était vrai jusqu’en 2010. Mais la généralisation des réseaux, l’avènement des technologies du cloud et les besoins de mobilité croissants périment ce modèle. Après le Moyen-Age de l’informatique, l’internet et le Cloud sont les imprimeries modernes qui nous amènent la Renaissance : les murailles se percent de fenêtres pour faciliter les échanges avec le monde.

 

La sécurité des données ne sera plus conditionnée à l’endroit où elles sont stockées mais à la façon dont on les stocke.