GDPR : 5 chantiers prioritaires

 

Un épais dossier étiqueté « GDPR » traîne sur votre bureau depuis des semaines, déposé là par votre juriste. Son seul survol a suscité des questions multiples. Et notamment celle-ci : par où commencer pour se conformer à ce nouveau « Règlement Général sur la Protection des Données » ? Pour vous aiguiller, voici 5 chantiers à traiter en priorité.

 

1) Analysez vos traitements, évaluez les risques et… nommez un DPO
 

Une première étape fastidieuse mais incontournable :  avec le GDPR, la protection des données personnelles n’est plus un sujet annexe que l’on pourrait traiter une fois une nouvelle procédure mise en place. Au contraire, et c’est la grande nouveauté du texte : la protection et la sécurisation des données doivent s’inscrire dans le mode de fonctionnement même de l’entreprise et dans sa manière de concevoir des services. Le principe d’accountability impose à l’entreprise de se mettre en mesure de démontrer à tout moment sa conformité à ses obligations.

 

Concrètement, il vous faut notamment revoir vos processus et vos outils pour vérifier :

  1. que vous ne collectez pas plus de données personnelles que vous n’en avez réellement besoin. Un principe de « minimisation » à appliquer aussi aux données stockées sur les smartphones.
  2. que ces données font l’objet d’une sécurisation à la hauteur des risques évalués. Pour vos mobiles, cela conduit à maîtriser finement et dans la durée la politique de sécurité qui leur est appliquée.

 

Vérifiez aussi si vous n’êtes pas contraint de nommer un Digital Protection Officer (DPO), autrement dit un délégué à la protection des données. La réglementation impose un DPO notamment pour les organismes publics et pour les entreprises dont les traitements s’apparentent à un suivi régulier et systématique à grande échelle des personnes. 

 

Si, au-delà de ces cas, cette désignation est facultative, elle reste vivement recommandée afin que l’entreprise dispose d’un interlocuteur particulier compétent en matière de données à caractère personnel.

 

2)  Déployez de quoi assurer la transparence

 

Le GDPR renforce sensiblement les droits des citoyens et impose aux entreprises d’importantes obligations d’information et de transparence. Tout commence avec le consentement qui doit être obtenu de la manière la plus explicite et loyale possible. En outre, les droits conférés aux personnes concernées doivent être assurés : tout doit donc être mis en œuvre pour leur permettre de consulter leurs données, de demander des corrections si besoin ou encore de s’opposer à leur exploitation.

 

La transparence doit aussi s’appliquer en cas d’incident : si des données sont perdues ou dérobées, les entreprises ont 72 heures pour le notifier à la Cnil. Si des contre-mesures existent et semblent requises au regard de la sensibilité des données et de la nature de la violation de sécurité, elles doivent être prévues. En cas de vol d’un smartphone stockant des données personnelles sensibles, disposer de la capacité de verrouiller le terminal et d’effacer les données à distance sera plus que bienvenu…

 

 

3) Sécurisez les données personnelles tout au long de leur cycle de vie
 

Des données personnelles sont bel et bien accessibles depuis les applications métiers mobiles de vos collaborateurs ? À vous, là encore, de prendre toutes les mesures qui s’imposent pour garantir la sécurité de ces informations, car ces données relèvent de votre responsabilité.

  • Sont-elles bien protégées, via du chiffrement par exemple ?
  • Sont-elles accessibles uniquement aux utilisateurs autorisés ?
  • Les applications qui les hébergent sont-elles à l’abri des malwares ?

 

En résumé, explorez les risques et listez les mesures prises ou… à prendre.

 

 

 

4)  Sensibilisez vos collaborateurs – notamment les plus nomades

 

Le GDPR n’est pas seulement un projet technique, mais aussi organisationnel. Une maladresse, une imprudence peut conduire à une fuite de données personnelles. Installer une application mobile dont la source n’est pas vérifiée ou oublier son smartphone sur un siège de taxi sont autant de scénarios qui engagent clairement la responsabilité de l’entreprise. Aligner les pratiques sur cette nouvelle réglementation suppose donc de sensibiliser l’ensemble des collaborateurs, notamment les plus nomades.

 

5)  Révisez vos contrats, notamment avec vos sous-traitants

 

Pour la sous-traitance aussi, le GDPR change la donne. Désormais, la responsabilité du sous-traitant se trouve renforcée. Surtout, son client doit être en mesure de témoigner de sa conformité avec les obligations du GDPR. Il doit donc se soumettre aux mêmes engagements que lui pour assurer la protection des données jusque… sur ses propres applications mobiles. Autant dire que les droits et devoirs du sous-traitant doivent faire l’objet d’une contractualisation précise à la lumière des nouvelles règles du jeu fixées par le GDPR.

 

 

Vous avez un projet ?

Laissez-nous vous aider à trouver la solution idéale pour votre activité.
Contactez-nous via notre formulaire.