SFR Business - marque de SFR   Nous contacter Assistance Espace Client

AFFICHER tous les résultats

SFR Business - marque de SFR Me faire rappeler Nous écrire 0 805 70 24 54 Service & appel gratuits

BUSINESS ROOM POINTS DE VUE, VÉCUS ET EXPERTISE TÉLECOM ET CLOUD

Mise en conformité avec le RGPD : les avantages d'un audit

Le 25 mai prochain, le Règlement Général sur la Protection des Données, le RGPD, entre en application. Il renforce les droits de tous les citoyens européens dont les informations personnelles sont traitées par des entreprises. En contrepartie, il oblige tous les professionnels à mettre en place différents processus et solutions techniques renforçant la protection de ces données.


Mise en conformité avec le RGPD : un enjeu pour toutes les entreprises

À quelques semaines de l’entrée en application du RGPD, de nombreuses entreprises ne sont pas encore prêtes. Pour trois raisons principales. 

Premièrement, les PME et TPE ne disposent pas toutes d’une équipe interne gérant la cybersécurité.

Deuxièmement, certains chefs d’entreprise pratiquent la politique de l’autruche en se disant que les contrôles de la CNIL sur la conformité avec le RGPD ne viseront que les grands comptes. 

Enfin, troisièmement, ce règlement apparaissant comme un ensemble de contraintes trop complexes, certains pensent qu’il faut attendre et ne rien faire.  

Quelles que soient les raisons, les entreprises doivent bien comprendre les réels enjeux du RGPD. La non-conformité peut avoir un impact important sur l’activité de l’entreprise. Au-delà des amendes de la CNIL, un piratage informatique touchant les données à caractère personnel que possède l’entreprise peut entacher son image de marque. Un risque loin d’être négligeable.

Un sondage récent (mené en février 2018 par l’IFOP) a révélé que 77 % des personnes interrogées pensent que la transparence des entreprises, dans l’utilisation de données personnelles qu’elles collectent, entrera à l’avenir dans leurs critères d’achat.   

Le 25 mai 2018 est la date d’entrée en application de ce texte comptant 99 articles. Il devient donc urgent d’entamer sans plus tarder un processus de mise en conformité. L’essentiel n’est pas d’être prêt le « Jour J », mais de prouver, en cas de contrôle de la CNIL, que le processus a déjà démarré. 

Il ne doit pas se faire uniquement sous le prisme des sanctions. Le RGPD doit être considéré comme l’occasion de faire un nettoyage de toutes les données stockées à tort ou à raison depuis des années. Cette opération permettra de constater que beaucoup ne sont plus « nécessaires » au regard de ce règlement et de l’activité de l’entreprise. À la clé : une réduction des coûts de stockage. Mais le principal bénéfice est ailleurs : l’amélioration de la sécurité informatique de l’entreprise

Certes, le RGPD est un vaste chantier. « Des mécanismes techniques et organisationnels garantissant la confidentialité et l’intégrité des données personnelles doivent être mis en œuvre pour éviter que leur consultation par des tiers non autorisés, des modifications ou encore leur perte portent préjudice aux personnes concernées », a expliqué Sophie Nerbonne, Directrice de la conformité à la CNIL dans un entretien accordé à La revue des collectivités locales, N° 485 en septembre 2017. 

Ce n’est pas simple pour de nombreuses entreprises. D’où la nécessité de faire appel à des experts capables de réaliser un audit RGPD et d’accompagner les entreprises. Sans une vision à 360° de son Système d’Information (SI), une entreprise ne peut pas mettre en place une politique de sécurité efficace.

Audti RGPD : 4 étapes à ne pas négliger

La durée d’un audit RGPD varie généralement entre cinq jours pour une entreprise « type »,  ayant jusqu’à 500 collaborateurs, et dix jours pour des organisations de plus grande taille ou possédant un nombre importants de processus impliquant des données personnelles. 

Quatre étapes sont essentielles. La première est de sensibiliser les métiers concernés aux enjeux et risques du RGPD. 

La mise en conformité implique ensuite de cartographier tout le réseau et les logiciels, afin de repérer où sont stockées les données et quels salariés et prestataires y accèdent. Des entretiens avec les personnes traitant ces fichiers sont également menés.

La troisième étape consiste à apprécier le niveau de sécurité (notamment d’un point de vue organisationnel) et à réaliser des analyses de risques. Appelées DPIA (pour « Data Protection Impact Assessment » ou en français pour « Analyse d’impact sur la protection des données »), ces analyses ne sont obligatoires que si l’entreprise traite de données personnelles « particulières » : santé, opinions politiques, orientation sexuelle, évaluation ou notation reposant sur des données personnelles, données biométriques, etc.

Schématiquement, un DPIA consiste à :

  • Identifier les traitements critiques
  • Décrire systématiquement les traitements envisagés et les finalités poursuivies
  • Évaluer le risque pour les droits et libertés des personnes concernées
  • Présenter les mesures envisagées pour atténuer ce risque

A LIRE AUSSI
Replay Webinar -  RGPD : Etes vous prêt ?


La dernière étape, suite logique de l'Audit RGPD, est la mise en application des recommandations et des solutions de sécurité destinées à une mise en conformité. Un accompagnement doit être aussi envisagé pour la rédaction des documentations demandées en cas de contrôle de la CNIL (registre, information sur les failles de sécurité, etc.), la mise en place d’une gouvernance de la donnée et la sensibilisation régulière des équipes. 

Les bénéfices d’un audit et d’un accompagnement  sont triples. Premièrement, la conformité rassure les clients et les interlocuteurs. Deuxièmement, en jouant la transparence sur les mesures prises pour le RGPD, l’entreprise dispose d’un atout majeur par rapport aux concurrents qui ne seront pas prêts. Enfin, la mise en place d’une politique de sécurité personnalisée renforce la résilience, c’est-à-dire la capacité à résister aux coups durs (piratage, incident informatique, dégât des eaux, incendie, etc.).



RGPD, données personnelles, audit RGPD