Les récentes cyberattaques ont mis au grand jour les menaces des hackers et ceux de la sécurité interne. C’est une des raisons pour laquelle des entreprises ont mis en place des alertes capable d’administrer des environnements hybrides et des systèmes de surveillance comme le RGPD.
Qu’est-ce que le RGPD ?
Désormais la majorité des établissements, professionnels de santé, mutuelles et assureurs, mais aussi éditeurs se bousculent dans une course effrénée pour sécuriser leurs données, leurs process et leur SI. Pour cela, nombreux sont ceux qui se sont tournées vers le RGPD. En fait, le Règlement Général sur la Protection des Données personnelles ou RGPD a été adapté le 27 avril 2016 et mis en vigueur vers fin mai 2018. Ce dernier a pour objectif de renforcer les droits de citoyens relatifs à leurs données personnelles. En général, les associations et les entreprises des 28 États membres et ceux qui traitent les données des résidents européens y sont soumis.
Les principes du RGPD
En somme, le RGPD se repose sur trois principes importants. Plus précisément :
- La transparence : selon cette dernière, un site doit, toujours, indiquer pourquoi il collecte les données, à quelles fins ils seront utilisés, combien de temps seront-elles conservées et quels sont les entités qui y auront accès. Ici, tous les renseignements doivent être indiqués dans un format lisible, concis et écrits dans un vocabulaire simple.
- La responsabilité des entreprises : une société est responsable des données qu’elle saisit et de celles qu’elle transmet à des sous-traitants. Aussi, cette dernière doit prouver qu’elle collecte uniquement les informations dont elle a besoin et qu’elle a mis en place des solutions efficaces pour protéger ses données.
- Le droit des utilisateurs : chaque utilisateur peut accéder librement à ses données (adresse e-mail, formulaires, courriers, ...). D’ailleurs, il est, désormais, possible de solliciter un déférencement sur un moteur de recherche, d’exercer un droit à l'oubli et un droit à l'effacement.
Sécuriser ses données, par quoi commencer ?
Au centre de la sécurité des systèmes d’information, le RGPD maintient un haut niveau de protection. Il renforce les droits d’une personne et équilibre les mesures afférant à la sécurité des données. Mais comment mettre en œuvre le RGPD ? Pour commencer, il faut répertorier les traitements ainsi que leurs caractéristiques. Notamment, l’applicatif utilisé, la base légale du traitement, la finalité, les catégories de données traitées, les personnes concernées, les destinataires, la durée de conservation, les mesures de sécurité, etc.
Une fois fait, il faut confronter cette cartographie au référentiel applicable en y incluant le RGPD, mais également les réglementations sectorielles pour bien identifier les écarts. Passé cette étape, il ne reste plus qu’à établir une feuille de route de mise en conformité.