Le Règlement général sur la protection des données (RGPD) entre en vigueur le 25 mai 2018 et prévoit la mise en pratique de nouvelles exigences pour les entreprises. Celles-ci devront non seulement intégrer les informations principales relatives à ce nouveau règlement, mais également appliquer ces mesures de protection des données et des droits d’accès afin de pouvoir, à l’avenir, avancer en toute sécurité.
La RGPD, un instrument d’harmonisation pour protéger la vie privée des citoyens Européens.
Pour renforcer la protection des données personnelles, cette nouvelle régulation s’attache à défendre les droits des consommateurs et à établir de nouvelles normes pour la sécurité des entreprises. Il est crucial que celles-ci procèdent, de la même façon avec les données numériques qu’avec des documents confidentiels conservés dans un coffre-fort. A défaut de mesures de protection efficaces, ces données peuvent être copiées illégalement et, dans les cas les plus grave, diffusées ou revendues. On ne parle plus uniquement de protection des données, mais de trésor des données : les protéger signifie également protéger l’entreprise.
Une architecture conforme au RGPD
Chaque réglementation inclut des contraintes pour les entreprises. Concernant la RGPD, les 4 principales sont les suivantes :
Garantir la sécurité et l’intégrité des données
Les fichiers qui contiennent des données personnelles ne doivent être accessibles qu’à des personnes autorisées. Les répertoires doivent être soumis à un contrôle permanent devant permettre de tracer les copies et les modifications. En cas d’incident relatif à la sécurité, les différents départements et le service informatique doivent être en position de fournir des informations et des explications sur l’incident.
La documentation des droits d’accès
La notion de responsabilité exige que les institutions traitant des données soient à tout moment en mesure de démontrer qu’elles disposent de l’historique des droits d’accès ainsi que des accès effectués par le passé.
Mise à jour des permissions
Particulièrement dans le cas des personnes qui arrivent dans une entreprise, changent de poste ou la quittent, le service informatique et les départements concernés sont tenus de disposer d’une vue d’ensemble des permissions détenues par les employés et de pouvoir les modifier rapidement, sachant que le vol de données s’effectue le plus souvent lors du départ d’un employé. Le département concerné doit avoir annulé les droits d’accès aux répertoires importants pour la sécurité de tout employé quittant l’entreprise avant son départ.
La création d’un « responsable de données »
Cette nouvelle réglementation exige une répartition claire des responsabilités pour le traitement des données personnelles. Dans cette optique, la création du rôle de « Responsable de données », est d’une importance cruciale. Les responsables de données sont des cadres chargés au sein de leur département de surveiller le traitement des données. Ils doivent savoir quels sont les répertoires qui nécessitent une protection et quels sont les employés auxquels ils peuvent accorder leur confiance. La création de nouvelles fonctions telles que celle-ci exige simultanément la mise en place de nouveaux processus de collaboration de la documentation des activités mises en œuvre.
Les données personnelles sont définies par la relation liant une personne à une autre, à un objet ou à un événement. Elles se caractérisent par le fait qu’elles permettent d’identifier une personne précise. Parmi les données personnelles, on peut mentionner les plaques d’immatriculation, les coordonnées d’un compte bancaire, les numéros d’immatriculation à l’assurance vieillesse, les numéros d’immatriculation en général, ainsi que les adresses électroniques et IP. Le facteur déterminant pour l’application du nouveau règlement n’est pas la localisation de l’entreprise, mais au contraire le lieu de séjour de la personne dont les données ont été saisies.
Auteur : Chakir Moullan, Country Manager France 8MAN.
