Le But de la RGPD est de protéger les données personnelles des citoyens européens comme leurs noms, âges, adresses IP, historiques de navigation, mails, qui sont très facilement accessibles.
Des tierces personnes peuvent donc étudier vos données et les utiliser de façon plus ou moins malveillante. C’est pourquoi le Règlement général pour la protection des données personnelles (RGPD) a été adopté par l’Union européenne. Les acteurs concernés comme les entreprises, les associations… devront non seulement s’assurer de la sécurité du traitement des données personnelles, mais également de pouvoir prouver leur respect à cette mesure. Le RGPD sera appliqué le 25 mai 2018 et les entreprises qui ne seront pas aux normes devront payer une amende jusqu’à 4% de leurs chiffres d’affaires.
Pour vous aider, nous allons vous présenter tous les points pour être eu normes de la règlementions européen.
L'arrivée du RGPD a de quoi donner quelques sueurs froides aux entreprises qui collectent des données. Au final, tout le monde collecte des données, mais certains les exploitent plus et mieux que d'autres. Qu'importe, le règlement européen s'adresse à tout le monde. Si vous êtes encore perdu dans sa mise en place, voici un résumé de 17 actions indispensable à réaliser le plus vite possible.
Vous devrez sensibiliser vos collaborateurs qui travaillent avec des données à caractère personnel liées aux libertés et à la vie privée, les informer des mesures prises pour traiter les risques et des conséquences potentielles en cas de manquement.
Les ordinateurs, tablettes… devront avoir un mot de passe et login personnel à chaque collaborateur afin que le personnel non autorise à utiliser des données personnelles ne puisse obtenir ses données.
Il faudra également définir les données personnelles qui sont nécessaires pour votre entreprise et les justifier en cas de contrôle de la CNIL. Vous devrez définir pour chaque collaborateur les données des utilisateurs utiles dont ils pourront avoir connaissance et qu’ils pourront exploiter. Pour les personnes qui non pas nécessité d’avoir accès aux données personnelles vous devrez leur bloquer l’accès.
Prévoir un système de journalisation afin d’enregistrer les activités des utilisateurs qui utilisent la base donnée, afin de pouvoir identifier un accès frauduleux ou une utilisation abusive de données personnelles, ou de déterminer l’origine d’un incident.
Vous devrez mettre en place une procédure de verrouillage automatique de session, des pare-feu et des antivirus à jour.
Vos appareils portables qui ont accès à de la donnée personnelle devront se prémunir d’un mot de passe et activer le verrouillage automatique de l’écran. Les disques durs, les clés USB… devront être cryptés pour protéger les données en cas de perte ou de vol.
Les accès à distance sur les serveurs devront être protégés par un VPN
Il faudra que votre serveur soit mis à jour régulièrement et vous devrez adopter une politique spécifique de mots de passe pour les administrateurs. Il sera nécessaire de changer les mots de passe, au moins lors de chaque départ d’un administrateur et en cas de suspicion de compromission.
Mettre en œuvre le Protocol TLS (en remplacement de SSL) sur tous vos sites web. Vous avez aussi l’obligation de mettre un bandeau de consentement au traçage de la navigation par les cookies. Pour continuer de récupérer les données personnelles des utilisateurs de votre site (mail, nom, fonction, historique de navigation…), il faudra créer une page ou sera expliquée en quoi s’est donné sont utile pour vous et ce que vous allez en faire. Tout le monde est concerné du moment où des outils d’analyse de site sont activés.
Effectuer des sauvegardes régulières de votre base de données tout en la maintenant à jour.
Définir un processus de gestion des archives et de destructions des données inutiles ou des personnes qui souhaitent être supprimées de la base.
Enregistrez les interventions de maintenance dans votre logiciel de journalisation.
Prévoir un contrat avec les sous-traitants, qui définit notamment l’objet, la durée, la finalité du traitement et les obligations des parties
Il faudra crypter le fichier comportant la base de données ou des données personnelles pour les envoyer via le net et transmettre le mot de passe par un autre canal : sms, appel téléphonique.
Restreignez les accès aux locaux au moyen de portes verrouillées et installez des alarmes anti-intrusion et vérifiez-les périodiquement.
La protection des données à caractère personnel doit être intégrée au développement informatique dès les phases de conception afin d’offrir aux personnes concernées une meilleure maîtrise de leurs données et de limiter les erreurs, pertes, modifications non autorisées, ou mauvais usages de celles-ci dans les applications.
Assurer l’intégrité, la confidentialité et l’authenticité d’une information.
Pour en savoir plus sur les 17 points clés pour la mise en conformité de la RGPD et comment mettre en œuvre rapidement cette réglementation dans votre entreprise télécharge notre guide des 38 actions à suivre :