Impact du RGPD sur la sécurité des données des entreprises

Avec l’ère du numérique en constante évolution, l’accès aux données personnelles peut être menacé. Pour empêcher tout risque, un dispositif a été mis en place : le RGPD, le Règlement Général sur la Protection des Données. Si cette mesure tend à protéger les utilisateurs, quel est l’impact du RGPD sur la sécurité des données des entreprises ? On vous explique.

C'est quoi la loi RGPD ?

Qu'appelle-t-on donnée personnelle ?

Une donnée personnelle se rapporte à toute information liée à une personne physique identifiée ou identifiable, de manière directe (nom, prénom) ou indirecte (identifiaient type numéro client, données biométriques, voix, image).

L’identification d’une personne peut être réalisée à partir d’une seule donnée personnelle comme l’ADN ou le numéro de sécurité sociale propre à chaque individu, ou via un ensemble de données croisées (date de naissance en corrélation avec le lieu d’habitation, la profession, etc.).

C’est quoi le traitement des données personnelles ?

Le traitement des données personnelles est l’action effectuée sur les données collectées par une entreprise au sujet d’une ou plusieurs personnes physiques. Cela va de la collecte au stockage, en passant par l’utilisation. Mais tout traitement de données doit avoir un but, une finalité : votre entreprise ne peut pas collecter des données personnelles « au cas où » elle en aurait besoin dans le futur. Le traitement des données personnelles doit donc être légitimemais aussi légal, dans le cadre de votre secteur d’activité professionnelle.

C’est en cela que va intervenir la loi RGPD.

Quelles sont les caractéristiques de la loi RGPD ?

RGPD signifie « Règlement Général sur la Protection des Données ». La loi RGPD permet d’encadrer les données personnelles utilisées, leur traitement, en Suisse mais aussi au sein de l’Union européenne. En raison de l’évolution de l’utilisation du numérique et de l’accès aux données, la loi RGPD a mis en place une protection juridique.

Quelles sont les sanctions en cas de non-respect du RGPD ?

Le RGPD est encadré par la formation restreinte de la CNIL, c’est-à-dire un comité de 5 membres élus et d’un Président, qui jugent des sanctions en cas de non-respect de la loi.

Les sanctions simplifiées

Pour les dossiers peu complexes ou les manquements de faible gravité, une procédure simplifiée est tenue par la CNIL. Elle consiste en :

Les sanctions pour manquement ou violation plus graves

Un manquement ou une violation plus grave de la loi RGPD peut entraîner plusieurs sanctions telles que :

Notez également que la formation restreinte de la CNIL peut choisir de rendre sa décision publique, à travers l’insertion de cette mesure dans les journaux ou supports qu’elle choisit, et ce, aux frais de la société sanctionnée.

Quels sont les principes du RGPD ?

Finalité et minimisation

Comme la loi RGPD l’impose, votre entreprise ne doit collecter que les données personnelles dont elle a besoin et à des fins précises. Soyez certain que les éléments collectés ne sont pas utilisés de manière ultérieure et de manière incompatible avec votre projet et but initiaux. Il s’agit du principe de finalité.

Quant à la collecte en elle-même, il doit s’agir d’informations strictement nécessaires à la réalisation de votre projet, sans superflu : c’est le principe de minimisation.

Organisation des modalités d’exercice des droits

Pour rappel, les personnes ayant autorisé la collecte, le stockage et le traitement de leurs données ont un droit d’accès, de consultation, de rectification et de suppression de ces informations. La RGPD impose aux entreprises de faciliter l’exercice de ce droit des personnes par le biais d’une demande par voie électronique avec adresse dédiée.

Transparence

Les entreprises doivent pouvoir offrir une transparence totale aux personnes qui transmettent leurs données. Ils doivent être informés de l’utilisation claire qui sera faite de leurs informations. Celles-ci ne doivent jamais être récupérées à leur insu, et la RGPD impose que les modalités d’exercice de leurs droits leur soient clairement expliquées.

Durée de conservation des données

La durée de conservation des données est limitée, votre entreprise ne peut pas les stocker indéfiniment. Elles doivent être conservées en « base active » : une durée strictement nécessaire, utile dans le temps présent et pour l’objectif déterminé dès le départ. Après cette période, ces données doivent être détruites, archivées ou alors rendues anonymes, dans le respect des obligations légales, selon la réglementation de conservation des archives publiques.

Sécurité des données et identification des risques

La sécurité des données est absolument essentielle pour protéger les informations des personnes et de l’entreprise en général. Sécurité physique, sécurité informatique, sécurité des locaux et des postes de travail, mais aussi autorisations d’accès informatiques, tout doit être mis en place par l’entreprise pour protéger les données sensibles et identifier tout risque qui viendrait menacer la pérennité de ces informations confidentielles.

Mise en conformité

À l’image de la sécurité des réseaux et des systèmes informatiques, il est nécessaire pour votre entreprise de réaliser des mises à jour et des mises en conformité, notamment en matière de respect des principes et mesures de collectes des données. Pensez à vérifier les procédures, les mesures de sécurité et les protocoles de traitement de l’information, et adaptez-les en cas de changement.

Où et à qui s'applique le RGPD ?

Est-ce que le RGPD est obligatoire ?

La RGPD est en effet obligatoire pour les entreprises depuis le 25 mai 2018 dans toute l’Union européenne et aux entreprises suisses. Selon le nouveau règlement européen, celles-ci doivent respecter plusieurs règles.

Par ailleurs, la Suisse est en pourparlers pour instaurer une nouvelle loi fédérale sur la protection des données, qui viendra compléter la RGPD.

Qui doit respecter le RGPD ?

La RGPD concerne tout organisme, peu importe le pays d’implantation, la taille ou l’activité. Elle s’applique aux sociétés publiques et privées qui traitent des données personnelles (pour son compte ou non), dès lors qu’elles se trouvent dans l’Union européenne ou que leur activité vise directement des résidents européens, Suisses inclus. Il peut s’agir d’entreprises qui proposent des biens et des services, avec paiement ou non, ou qui traitent du suivi du comportement d’individus.

La RGPD concerne également les sous-traitants qui utilisent des données personnelles pour d’autres organismes, tout comme les prestataires et fournisseurs basés en Suisse et travaillant pour une entreprise européenne.

Notez que la RGPD peut également concerner les particuliers, dès lors où ils utilisent des données en dehors de leurs activités personnelles ou domestiques (par exemple des caméras extérieures à leur domicile, ou des publications d’informations personnelles sur les réseaux sociaux publics).

La RGPD est une base solide et obligatoire pour respecter, d’une part, la loi européenne et suisse, et d’autre part, le traitement des données personnelles collectées. Elle vise à éviter aux entreprises tout impact négatif et irrémédiable sur la sécurité de ces informations toujours sensibles.