Jérôme Villain, Senior Account Manager Brainloop France
Depuis un an circulent un certain nombre d’informations sur la signification du règlement et ses conditions permettant aux entreprises d’être informées. Mais les nombreuses exigences, les implications auront déjà eu raison de leur patience puisque, comme le rapportent certaines études, de nombreuses entreprises se montrent relativement inquiètes des conséquences et des pénalités, une fois le RGPD entrée en vigueur. Rappelons-le, la règlementation a pour objectif de clarifier la situation des données sensibles et personnelles des citoyens européens, en proie à une forte croissance et de plus en plus disséminées dans le monde. Une situation ressentie comme dangereuse par les utilisateurs finaux, et qui en cas de faille peut avoir un impact désastreux pour les entreprises. La mise en conformité vis-à-vis du règlement et la mise en œuvre de mesures techniques et organisationnelles seront donc cruciales pour atteindre les objectifs de protection de données pour leurs clients. Il n’y a aucun piège pour les entreprises, puisqu’elles seront toutes, sans exception, soumises aux mêmes règles.
Pour le moment le règlement est perçu comme un obstacle pour les entreprises qui ne savent pas comment s’y prendre. De nombreuses interrogations sont encore sans réponse et cristallisent une prise de décision concrète : Est-ce que mon entreprise est concernée par la loi, où sont les données déjà récoltées, comment les réunir, quelles sont les étapes à suivre et les exigences à remplir pour être conforme, quelles technologies peuvent répondre à ce type précis de besoin, ... ? Au-delà de ces premiers freins, les entreprises voient également d’un mauvais œil les impacts négatifs que pourraient avoir le GDPR sur leurs activités et sur leur image de marque si elles venaient à être condamnées pour n’avoir pas rempli les conditions.
Si une démarche doit être entreprise assez rapidement, il est également nécessaire de comprendre les aspects positifs du règlement. Il faut pour cela lever les barrières et dépasser les préjugés.
Pour le moment le règlement est perçu comme un obstacle pour les entreprises qui ne savent pas comment s’y prendre. De nombreuses interrogations sont encore sans réponse et cristallisent une prise de décision concrète : Est-ce que mon entreprise est concernée par la loi, où sont les données déjà récoltées, comment les réunir, quelles sont les étapes à suivre et les exigences à remplir pour être conforme, quelles technologies peuvent répondre à ce type précis de besoin, ... ? Au-delà de ces premiers freins, les entreprises voient également d’un mauvais œil les impacts négatifs que pourraient avoir le GDPR sur leurs activités et sur leur image de marque si elles venaient à être condamnées pour n’avoir pas rempli les conditions.
Si une démarche doit être entreprise assez rapidement, il est également nécessaire de comprendre les aspects positifs du règlement. Il faut pour cela lever les barrières et dépasser les préjugés.
Miser sur le long terme
Les vols de données personnelles sont devenus les nouveaux faits divers de notre époque. Ce ne sont pourtant pas des faits anodins. On peut se rappeler l’exemple malheureux de l’opérateur britannique TalkTalk dont les données personnelles de 156.959 clients avaient été volées en 2015, parmi lesquelles 15.656 contenaient des coordonnées bancaires. Outre une amende de £400.000, l’opérateur avait perdu 4,4% de parts de marché selon les analystes, sans compter l’impact sur son action qui avait chuté et le départ de clients existants.
Les vols de données peuvent s’avérer désastreux pour les entreprises en termes commerciaux, financiers et d’image, qui peuvent mettre plusieurs années avant de regagner la confiance de leurs clients.
Le RPGD peut permettre aux entreprises de regagner la confiance de leurs clients, ces derniers n’étant jamais totalement certains de la façon dont sont traitées leurs données. Cet encadrement sera l’assurance pour les utilisateurs d’une sécurisation optimale de la part des entreprises. Et si jamais il devait y avoir un incident, toute entreprise victime d’une perte de données disposera ainsi de 72 heures pour en aviser les autorités de réglementation et les personnes concernées « dans les plus brefs délais ». Cela donne aux utilisateurs le sentiment d’un plus grand contrôle de leurs données, clef pour construire une relation de confiance avec les entreprises.
Les vols de données peuvent s’avérer désastreux pour les entreprises en termes commerciaux, financiers et d’image, qui peuvent mettre plusieurs années avant de regagner la confiance de leurs clients.
Le RPGD peut permettre aux entreprises de regagner la confiance de leurs clients, ces derniers n’étant jamais totalement certains de la façon dont sont traitées leurs données. Cet encadrement sera l’assurance pour les utilisateurs d’une sécurisation optimale de la part des entreprises. Et si jamais il devait y avoir un incident, toute entreprise victime d’une perte de données disposera ainsi de 72 heures pour en aviser les autorités de réglementation et les personnes concernées « dans les plus brefs délais ». Cela donne aux utilisateurs le sentiment d’un plus grand contrôle de leurs données, clef pour construire une relation de confiance avec les entreprises.
Prévoir plutôt que guérir
En toute objectivité, le plus dur sera probablement la mise en route du projet, et dans un premier temps de déterminer les acteurs de l’entreprise détenant les données sensibles liées à l’entreprise ou devant y accéder. Un retro planning pourra aider les entreprises à ne pas se laisser prendre par le temps pour être en phase avec l’échéance de mise en conformité. Les entreprises peuvent commencer par un audit de leurs données afin de mieux cerner l’étendue de leur implication vis-à-vis du règlement, établir un classement des données en fonction du besoin de niveau de protection de « public » à « très confidentiel » pour estimer la solution la plus appropriée.
Lors du choix de la solution, les entreprises doivent vérifier un certain nombre de mesures techniques et organisationnelles, clefs pour atteindre les objectifs définis, à savoir :
- Une transparence des données n’est possible uniquement si l’utilisateur sait où elles sont sauvegardées et qui peut y avoir accès
- Les utilisateurs doivent savoir comment leurs données sont traitées, si elles font l’objet d’un transfert, pour quelle raison, et ce en tout temps
- La confidentialité des données doit pouvoir être assurée et certifiée avec une sauvegarde et un chiffrement
- L’intégrité des données doit être garantie, pour cela elles doivent pouvoir rester intactes, complètes et être mises à jour quand cela est nécessaire
- Les utilisateurs doivent pouvoir être protégés contre des interconnexions qui permettraient de relier plusieurs données personnelles entre elles
- Une minimisation des données qui correspond au fait que le service ne doit pas traiter plus de données que nécessaire et ne considérer que celles jugées essentielles
Des outils innovants visent à répondre aux attentes des entreprises et à les aider à adhérer aux enjeux du GDPR. Les entreprises peuvent ainsi se tourner vers des services Cloud approuvées, notamment les datarooms considérées comme de véritables coffres forts numériques. Celles-ci assurent aux entreprises un stockage et un chiffrement des données en toute sécurité. Elles offrent également aux entreprises la possibilité de sauvegarder leurs données dans des centres d’hébergements sécurisés en Europe et notamment dans leur propre pays pour éviter que les données quittent les frontières.
Contrairement aux idées reçues les entreprises doivent se laisser convaincre par le GDPR et ne pas y voir de répercussions négatives. Il existe au travers de ce règlement une opportunité de développer les capacités des entreprises en apportant de nouveaux services à leurs clients mais également en améliorant leur rapport aux données, ce qui peut être un sérieux atout commercial pour établir une relation de confiance à l’égard des clients et des citoyens.
Lors du choix de la solution, les entreprises doivent vérifier un certain nombre de mesures techniques et organisationnelles, clefs pour atteindre les objectifs définis, à savoir :
- Une transparence des données n’est possible uniquement si l’utilisateur sait où elles sont sauvegardées et qui peut y avoir accès
- Les utilisateurs doivent savoir comment leurs données sont traitées, si elles font l’objet d’un transfert, pour quelle raison, et ce en tout temps
- La confidentialité des données doit pouvoir être assurée et certifiée avec une sauvegarde et un chiffrement
- L’intégrité des données doit être garantie, pour cela elles doivent pouvoir rester intactes, complètes et être mises à jour quand cela est nécessaire
- Les utilisateurs doivent pouvoir être protégés contre des interconnexions qui permettraient de relier plusieurs données personnelles entre elles
- Une minimisation des données qui correspond au fait que le service ne doit pas traiter plus de données que nécessaire et ne considérer que celles jugées essentielles
Des outils innovants visent à répondre aux attentes des entreprises et à les aider à adhérer aux enjeux du GDPR. Les entreprises peuvent ainsi se tourner vers des services Cloud approuvées, notamment les datarooms considérées comme de véritables coffres forts numériques. Celles-ci assurent aux entreprises un stockage et un chiffrement des données en toute sécurité. Elles offrent également aux entreprises la possibilité de sauvegarder leurs données dans des centres d’hébergements sécurisés en Europe et notamment dans leur propre pays pour éviter que les données quittent les frontières.
Contrairement aux idées reçues les entreprises doivent se laisser convaincre par le GDPR et ne pas y voir de répercussions négatives. Il existe au travers de ce règlement une opportunité de développer les capacités des entreprises en apportant de nouveaux services à leurs clients mais également en améliorant leur rapport aux données, ce qui peut être un sérieux atout commercial pour établir une relation de confiance à l’égard des clients et des citoyens.