Le Règlement général sur la protection des données est un Règlement européen qui entrera en vigueur le 25 mai 2018. Il définit les conditions à respecter lorsque vous souhaitez sauvegarder et utiliser des données à caractère personnel, mais décrit également aussi clairement la responsabilité de celui qui enregistre les données et de celui qui traite des données pour le compte de tiers. Voici un plan par étapes clair pour les PME qui souhaitent se conformer au RGPD.
Phase 1 : Analysez
Dans la phase d’analyse, déterminez les données sauvegardées qui répondent aux conditions du RGPD. S’agit-il de données que vous pouvez désormais encore collecter et pour lesquelles vous avez, le cas échéant, reçu le consentement formel de la personne concernée ? Les données non conformes aux normes RGPD doivent être supprimées de tous les systèmes et supports.
Dans cette phase d’analyse, vous devrez également aligner l’ensemble de vos processus actuels dans lesquels vous rassemblez des données à caractère personnel et les sauvegardez avec le nouveau règlement. Dans ce cas également, pouvez-vous enregistrer ces données et avez-vous demandé et obtenu de la bonne manière le consentement formel ? Un grand nombre de processus nécessiteront une adaptation, à l’instar de plusieurs des contrats que vous utilisez.
Phase 2 : Protégez
Dans la phase de protection, vous allez adopter les mesures organisationnelles et techniques nécessaires à la protection des données. Vous devez en d’autres termes soigneusement décrire la manière dont votre entreprise et tous les collaborateurs gèrent ces données et faire le nécessaire pour le communiquer et le faire appliquer. C’est le volet organisationnel.
Vous devrez également prévoir la protection nécessaire sur le plan des TIC. Des éléments comme le chiffrement et la classification des données, mais aussi l’utilisation d’appareils mobiles et de l’identité, devront également être pris en compte. Vous devez savoir qui demande un accès aux données et si la personne est bien celle qu’elle affirme être. Vous devez en outre offrir à chaque personne dont vous détenez des données un accès à celles-ci, ainsi qu’une possibilité de les adapter voire de les supprimer.
Phase 3 : Découvrez
La troisième étape est la phase de découverte. Dans celle-ci, vous implémentez un système qui vous permet de découvrir le plus rapidement possible des infractions et abus. Une approche de monitoring au fonctionnement pratiquement automatique doit être déployée. Et plusieurs fois par an, le monitoring devra être suivi à l’aide d'un audit qui examinera en profondeur l’état de la situation et les éventuelles anomalies.
Phase 4 : Réagissez
Dans la phase de réaction, chaque entreprise doit établir un scénario en cas de problème. Si, en d’autres termes, il venait à être question d'une fuite de données ou si une infraction venait à être constatée. Pour assurer une réaction assez rapide (comprenez dans les 72 heures à compter de la découverte de la fuite de données), il est préférable de disposer d’une procédure, de textes préparés et d’une liste d’adresses des personnes à informer.
Si vous suivez ces quatre étapes correctement, vous n’aurez aucune inquiétude à vous faire pour le 25 mai 2018.
Conseil en or
Voici pour terminer encore un bon conseil : documentez soigneusement tout ce que vous faites pour que votre entreprise soit en règle avec le RGPD. Vous disposerez ainsi d'un dossier, qui s’avèrera utile si vous veniez à tout de même faire l'objet d'une fuite de données voire si une personne venait à formuler une plainte sur la manière dont votre entreprise gère les données à caractère personnel. Sans dossier, il vous sera en effet difficile de vous défendre.
