La nouvelle réglementation européenne sur les données personnelles (GDPR) entrera en vigueur en 2018 et les entreprises doivent commencer à se préparer dès maintenant.

En mai prochain, la loi sur la protection des données (DPA) sera remplacée par le règlement général européen sur la protection des données (GDPR). Cela impliquera un cadre plus large et des sanctions plus sévères pour ceux qui ne respectent pas les nouvelles règles de stockage et de manipulation des données personnelles.

La DPA date des années 1990, à une époque où seules les plus grandes entreprises avaient les moyens de collecter et stocker des quantités importantes de données.

Dans l’intervalle, la facilité et la sophistication de la collecte de données signifient que des milliers d’entreprises recueillent non seulement des données personnelles, mais les stockent, les déplacent et y accèdent en ligne. Les données personnelles sont utilisées dans de nombreux domaines, des ventes à la gestion de la relation client en passant par le marketing.

Les cybercriminels ont vite compris l’opportunité. Les violations majeures de données ont permis aux criminels l’accès aux noms, aux dates de naissance et aux adresses et même aux informations de sécurité sociale et de retraite. Les cybercriminels sont désormais plus susceptibles de cibler les PME que les grandes entreprises. Les PME sont en effet considérées comme des cibles plus faciles que les grands groupes. C’est la raison pour laquelle de nombreuses autorités considèrent que le RGPD est en retard et que l’ignorance ne sera pas un moyen de défense pour les PME qui ne s’y conforment pas.

 

Que signifie GDPR pour les entreprises ?

 

Parmi de nombreuses nouvelles conditions, l’un des plus grands changements auxquels les entreprises seront confrontées concerne le consentement. En vertu de la nouvelle réglementation, les entreprises doivent tenir un registre complet de comment et quand une personne donne son consentement pour stocker et utiliser ses données personnelles.

Et le consentement signifiera un accord actif. Il ne peut plus être déduit, par exemple, d’une case pré-cochée. Les entreprises qui contrôlent comment et pourquoi les données sont traitées devront montrer une piste de vérification claire du consentement, y compris des saisies d’écran ou des formulaires de consentement enregistrés.

Les individus ont également le droit de retirer leur consentement à tout moment, facilement et rapidement. Lorsque quelqu’un retire son consentement, ses données doivent être effacées de manière permanente et non simplement supprimées d’une liste de diffusion. GDPR donne aux individus le droit à l’oubli. En cas de violation de données, le GDPR oblige les entreprises à informer les autorités compétentes dans un délai de 72 heures, en fournissant tous les détails de la violation et des propositions pour en atténuer les effets.

 

Une préparation nécessaire

 

Ces nouvelles conditions seules – et il y en a beaucoup d’autres – montrent à quel point la nouvelle réglementation sera exigeante pour les entreprises de toutes tailles. Le GDPR oblige les entreprises à savoir exactement quelles sont les données personnelles qu’elles possèdent et où elles se trouvent (sur PC, sur serveurs ou dans le Cloud), et ont mis en place des procédures garantissant leur suppression complète lorsqu’une demande est faite. Les protocoles de surveillance doivent être en mesure de reconnaître et d’agir sur les violations dès qu’elles se produisent, et un plan de reprise des incidents doit être mis en place pour faire face aux répercussions.

La préparation de tout cela exigera un audit complet de l’information et, pour de nombreuses entreprises, un changement de culture qu’elles devraient commencer à planifier et à mettre en œuvre bien avant 2018. Les données personnelles sont un outil clé pour les entreprises qui cherchent à cibler et fidéliser les clients. La GDPR signifie qu’elles doivent être manipulées avec le plus grand soin.

Write a comment