Toolinux Linto.AI OpenPAAS OBM Hubl.IN Linagora

Les PME bien préparées au règlement général sur la protection des données ?

lundi 25 décembre 2017

Le GDPR aura un impact sur les organisations établies au sein de l’Union Européenne, mais aussi en dehors de celle-ci. En termes simples, il concerne :

- les organisations qui traitent des données personnelles au sein de l’UE, que le traitement ait lieu ou non dans l’UE ;
- les organisations en dehors de l’UE qui offrent des biens et services ou qui surveillent le comportement des personnes au sein de l’UE.

Le but est de créer un ensemble de règles plus cohérent entre les pays membres.

Ces nouvelles règles GDPR comprennent notamment des dispositions onéreuses pour promouvoir la responsabilité et la bonne gouvernance autour de la protection des données. Cela inclut la mise en œuvre de processus de gouvernance clairs sur la façon dont les données sont gérées, traitées, stockées et supprimées, ainsi que la mise en œuvre du respect de la vie privée dès la conception, dans une organisation.

De lourdes sanctions seront également prévues pour les organisations qui envisageraient de ne pas se conformer. Les amendes maximales augmenteront de manière exponentielle jusqu’à 20 millions d’euros, soit 4% du chiffre d’affaires annuel global d’une entreprise (le montant le plus élevé étant retenu).

Pour respecter cette nouvelle réglementation, les entreprises devront essentiellement :

- Mettre en place un processus de gouvernance clair en ce qui concerne les données ; savoir comment elles sont gérées, traitées, stockées, conservées et supprimées.

- Maintenir à jour la documentation, telle que les manuels de protection des données et les inventaires de données personnelles.

- Effectuer des études d’impact sur la protection des données.

- Traiter les données de sorte qu’elles ne puissent plus être attribuées à un « sujet de données » spécifique.

Certaines entreprises ont pris le problème à cœur, comme l’explique le CEO de Ricoh, Eric Gryson : « Notre service « data cleansing » supprime toutes les informations résiduelles conservées sur les appareils en fin de contrat. Les données physiques et numériques sont ainsi éliminées. Chaque étape est documentée pour fournir une preuve vérifiable que les données ont bel et bien été éliminées de manière sécurisée. »