Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RGPD – La conformité en 80 jours

avril 2018 par Anne Lupfer, Project Lead Information Security Provadys Nantes

Il reste moins de 80 jours jusqu’à la date fatidique du 25 mai 2018 soit 7 semaines si nous soustrayons les ponts de mai et les prochaines vacances scolaires. Alors… Prêt ? Pas Prêt ? Que faire ?

Même si certaines entreprises partent de loin, rares sont celles qui n’ont encore rien fait en matière de protection des données. Cela fait 40 ans que la Loi Informatique et Libertés (LI&L) est en vigueur. Le RGPD engendre surtout des renforcements de la LI&L et quelques nouveautés. Si la CNIL a annoncé qu’elle ferait preuve de souplesse et bienveillance dans son application, elle sera probablement intransigeante sur des sujets vieux de 40 ans !

Le risque le plus fort est que vous soyez contrôlé par la CNIL suite à une dénonciation (un client peu satisfait de l’usage que vous faites de ses données) ou à sa veille (la CNIL détecte des comportements inadéquats).

Dans l’urgence de cette date fatidique, Provadys vous recommande donc de traiter ce qui est le plus visible : votre vitrine. Qu’est-ce qui constitue votre vitrine ? Votre site internet, vos lettres d’information, vos applications et d’une manière générale tous les services que vous mettez à disposition de vos clients, prospects, utilisateurs.

Voici donc, en 7 étapes, comment réduire le risque de sanction, à court terme :

1. Identifiez les Données à Caractère Personnel (DCP) que vous manipulez, les actions que vous faites dessus, leurs flux ainsi que leurs conditions de stockage et d’archivage.
2. Assurez-vous d’obtenir le consentement des individus pour la collecte et l’usage de leurs données (sur l’ensemble des canaux utilisé) ! Les cases à cocher ne sont plus cochées par défaut, et c’est bien l’individu qui fait l’action d’accepter.
3. Informez les individus de la collecte de leurs données et de leurs usages. Mettez une politique d’usage des données accessible à tous depuis votre site. C’est aussi l’occasion de mettre à jour vos CGU / CGV.
4. Supprimez les données. C’est le printemps ! Faites le ménage. Supprimez les données que vous n’utilisez plus et pour lesquelles vous n’avez aucune obligation de conservation. Profitez-en pour mettre à jour les formulaires et ne collecter que les données strictement nécessaires.
5. Mettez à jour les données. Automatisez la mise à jour des données en permettant à chacun de rectifier ses données en cas de déménagement, changement d’adresse mail… Et oui, l’utilisateur peut changer de mail !
6. Offrez la portabilité des données. Mettez-vous à la page, vous devez pouvoir transmettre les données collectées à l’individu qui en fait la demande sur un format numérique lisible. C’est anticiper l’exercice des différents droits que de faire ces évolutions !
7. Détectez ! Votre SI a été compromis ?! Et vous ne vous en êtes pas rendu compte ? Ce n’est définitivement plus possible : détecter et prévenir les autorités dans les 72h est votre dernier défi !

Il n’est plus temps de patienter, d’observer et d’attendre. Il est temps de passer à l’action ! Tout retard pris aujourd’hui sera autant de retard accumulé demain ! Le texte a la particularité (pour un texte de loi) de prôner une approche de balance entre les risques et les dispositifs de protection. Il a également repositionné les responsabilités de chacun : l’autorité de contrôle surveille, vérifie et sanctionne ; l’entreprise est responsable de ses actions, du maintien de sa conformité et de la maîtrise de ses risques.

« Un voyage de mille lieux commence toujours par un premier pas » Lao Tseu




Voir les articles précédents

    

Voir les articles suivants