Votre organisation est-elle en conformité avec le GDPR ?

Karel Dekyvere

Karel Dekyvere

Chief Information Security Officer

Temps de lecture, 5 min.

Le règlement européen sur la protection des données (General Data Protection Regulation ou GDPR) est d’ores et déjà l’un des sujets qui va faire le buzz en 2017. Ça sonne plutôt tendance, mais de quoi s’agit-il en fait ? Il vaut mieux le savoir, étant donné que cela vous concerne aussi. Il porte sur toutes les organisations qui utilisent des données de résidents de l’Union européenne. Le critère n’est pas d’être implanté en Europe, mais de travailler avec des données personnelles concernant des ressortissants de l’Union européenne. Nous avons listé pour vous quelques éléments importants de la nouvelle législation.

Vous vous souvenez des conséquences du passage à l’an 2000 ? Le problème, c’était que la plupart des systèmes informatiques n’étaient pas bien préparés au chiffre deux assorti de trois zéros. Et qu’ils l’ont malencontreusement interprété comme étant 1900. L’impact du GDPR est tout aussi important, mais avec une différence notable : si votre organisation n’y est pas encore préparée, vous risquez de grosses amendes. En effet, le but est d’assumer tous ensemble la responsabilité des données personnelles ayant trait à la vie privée. Toujours et partout, donc pas seulement quand il y a un risque de fuite de données.

Bien plus que quelques règles sur le papier

Le règlement GDPR porte sur la protection des données personnelles, en d’autres termes : sur la liberté. La liberté de gérer ses informations personnelles et la liberté d’être oublié. Certains trouvent cela exagéré et considèrent « l’ère du Big Data » comme une expression tendance de plus. Étudions donc cette question d’un peu plus près.

Tout le monde se souvient de son adolescence. Certains souvenirs sont fantastiques et méritent qu’on se les remémore, alors qu’on préférerait en oublier certains autres. Heureusement qu’on conserve la plupart de ces souvenirs dans un coin de sa pensée sans y être confrontés quotidiennement.

Il en va tout autrement pour les adolescents d’aujourd’hui. Ils partagent tous les événements de leur vie sur les réseaux sociaux. On y trouve de tout : des choses géniales et moins géniales sous forme de photos ou de paroles. Alors, l’image sérieuse qu’on veut donner de soi lors d’un entretien d’embauche peut ne pas du tout correspondre aux photos prises lors de fêtes trop arrosées et mises sur les réseaux sociaux. Ce contraste va aller en s’accentuant, dans la mesure où les gens partagent de plus en plus de choses en ligne. Le règlement GDPR aide les organisations à protéger ces informations personnelles. Cela signifie que le consommateur a lui-même accès à ses propres informations et que l’entreprise doit également garantir la sécurité et la protection des données.

Le compte à rebours a commencé…

Les organisations ont jusqu’au 25 mai 2018 pour se mettre en conformité avec le règlement GDPR. Vous pensez peut-être : « C’est encore loin. » Mais ce n’est pas si simple que ça. En tant qu’entreprise, vous devrez à cette date être plus qu’en conformité. Votre organisation devra être entièrement prête en ce qui concerne la gestion des informations. Cela signifie que vous devrez savoir quelles sont les informations sauvegardées par des personnes, sur quels appareils ces personnes travaillent, sur quels réseaux ces appareils sont connectés et bien plus encore. Il n’est pas possible de gérer ce flux d’informations avec rigueur si vous n’avez pas une vision et un contrôle à 100 % de chaque personne responsable de gérer des informations.

Encore un problème

Aussi bien les grandes entreprises que les petites ont les mêmes responsabilités et doivent être pareillement en conformité. Il s’agit surtout de la quantité et du type d’informations personnelles identifiables qui sont gérées par votre organisation. Y a-t-il par exemple une violation des données à caractère personnel ? Vous êtes alors tenus de la signaler sous 72 heures à une autorité de surveillance. Pour une grande organisation qui a un plan intégral de détection et de réaction, cela n’est pas un problème. Mais c’est justement pour les plus petites organisations que cela peut constituer un vrai défi et qu’un investissement conséquent est nécessaire.

En théorie et dans la pratique

Il n’est donc pas forcément suffisant d’être en conformité « sur le papier » et d’avoir consigné tous les processus dans un document. Le règlement décrit très clairement ce qui se passe si vous n’êtes pas bien préparé dans la pratique : vous courez le risque d’une amende pouvant aller jusqu’à 4 % de votre chiffre d’affaires annuel. Il ne suffit donc vraiment pas de gérer vos données de façon raisonnable. C’est la raison pour laquelle le règlement GDPR est un bon test. Ce n’est pas un sujet qui se délègue facilement au service juridique ou à l’équipe informatique. C’est de la responsabilité de toute l’entreprise. Le maillon faible, c’est bien souvent l’individu. Plus encore que d’être responsable, il faut être en mesure d’apporter une réponse appropriée. Qui ne réagit pas à temps risque une grosse amende. La réglementation est déjà très claire sur ce point.

Considérez votre expert d’un œil critique

Sur le marché, de très nombreux modèles de services sur le cloud sont disponibles afin d’aider les clients à se mettre en conformité avec le GDPR. Faites cependant attention à éviter les fournisseurs qui proposent des solutions « Black Box ». Dans le cas présent, il n’existe pas de solutions toutes faites adaptées à tous les cas.

À quoi devez-vous faire attention ?

Chaque solution appropriée comporte trois éléments : protection, détection et réaction. Par conséquent : vos données sont-elles suffisamment protégées, disposez-vous de services au sein de votre organisation pour détecter les fuites et les infractions et avez-vous en place un plan de réaction ? Si c’est le cas, vous êtes en conformité avec le GDPR.

Apprenez de l’expérience de nos clients avec l’e-book Cloud Strategy

Découvrez dans cet e-book comment migrer votre entreprise dans le cloud en toute efficacité et en toute sûreté.

Essayez Microsoft Azure gratuitement

Commencez à élaborer votre prochaine idée de génie avec Azure

Commerce de détail

  • GDPR et vente au détail : quatre exigences du GDPR, et en quoi Microsoft peut vous aider

    GDPR et vente au détail : quatre exigences du GDPR, et en quoi Microsoft peut vous aider

      Découvrez comment nous pouvons vous aider à vous conformer aux exigences du GDPR avec les solutions disponibles aujourd’hui : Évaluer votre profil de risque actuel « Comment connaître les points sur lesquels je suis déjà en conformité, et les prochains à traiter ? » C’est l’une des questions les plus courantes des distributeurs vis-à-vis du GDPR. C’est également […]

  • interface utilisateur graphique

    InnovaDerma, enablERP & Scapta – Repousser les limites pour réussir

    InnovaDerma est un chef de file dans les domaines des sciences du vivant, de la beauté et des produits de soins personnels cliniquement prouvés. Fondée à Melbourne, en Australie, InnovaDerma a depuis acquis et développé un certain nombre de marques internationales, notamment SkinnyTan, Roots et Prolong. Désormais cotée à la Bourse de Londres, avec des […]

Education

Finance

  • een boom voor een hek

    Le spécialiste des obsèques DELA, humain et innovant dans le cloud

    DELA est une entreprise qui depuis 30 ans déjà joue un rôle prépondérant dans les assurances obsèques et l’organisation d’obsèques dans notre pays. En Belgique, près de 800 collaborateurs garantissent une approche humaine de tout le processus de deuil et pour ce faire, DELA joue résolument la carte de l’innovation. L’intégration des activités informatiques de […]

  • Securex mise sur l’innovation et améliore l’expérience client avec la plate-forme cloud de Microsoft

    Securex mise sur l’innovation et améliore l’expérience client avec la plate-forme cloud de Microsoft

    La société Securex, basée à Bruxelles, propose aux entrepreneurs et aux entreprises un large éventail de services en ressources humaines, allant de la gestion des salaires et du personnel aux solutions dans le domaine de la sécurité et du bien-être au travail en passant par les assurances et la formation. Cherchant à offrir une meilleure […]

Gouvernement

  • Iceland runs on Trust

    Comment le cloud a aidé une petite nation à concrétiser de grandes ambitions

    En décembre 2015, le gouvernement islandais a lancé une étude de ses infrastructures numériques. Avec plus de 100 fournisseurs différents, supervisés par plus de 100 responsables informatiques dans chaque institution publique, l’objectif était simple : faciliter les opérations et rationnaliser l’informatique pour plus de 20 000 utilisateurs. La solution : Faisons un bond de deux ans et demi en avant, et voilà […]

  • Digitalisation maximale pour le gouvernement flamand

    Digitalisation maximale pour le gouvernement flamand

    Les autorités flamandes ne se sont pas contentées d’appeler les entreprises à privilégier le travail à domicile pendant la crise, elles se sont elles-mêmes pliées à l’exercice. La rapidité et la facilité de cette adaptation témoignent de la grande flexibilité dont doit faire preuve toute administration moderne, estime Frank Geets, l’administrateur général.

Industrie

Santé

  • Des soins virtuels apportent une aide aux villages les plus reculés de Suède

    Des soins virtuels apportent une aide aux villages les plus reculés de Suède

    Un médecin à domicile dans les 10 minutes, ce n’est pas donné à tout le monde. En particulier dans les endroits où l’on doit parcourir de longues distances et où l’on est confronté à un manque d’aide et de soins médicaux. C’est le cas du village suédois de Slussfors, où la longévité moyenne des habitants […]

  • Bernard, infirmier, exploite pleinement sa tablette

    Bernard, infirmier, exploite pleinement sa tablette

    Bernard est infirmier à domicile et exerce son activité avec plaisir. Son métier va plus loin que simplement assurer les soins des patients à leur domicile. Il comprend également des tâches administratives. La paperasserie lui demandait autrefois beaucoup de temps, cela n’est désormais plus le cas. Bernard saisit directement les données relatives aux patients via […]