Michel Lanaspèze, Head of Marketing Western Europe de Sophos, déclare : « Dans moins de 18 mois - en mai 2018 - les entreprises et organismes publics devront être pleinement conformes aux exigences du RGPD. Bien que la date semble encore lointaine, le délai peut se révéler court pour certains, en particulier si rien n’a encore été fait pour protéger les données des clients et des employés. Protéger la vie privée n’est pas un tâche qui s’accomplit en un jour, car cela exige de mettre en place des processus et d’adopter des comportements qui concernent l’ensemble de l’organisation. »

Il ajoute : « Jusqu’à aujourd’hui, les entreprises ont pu s’accommoder de la perte de données de leurs clients ou employés sans trop de problèmes la plupart du temps. Le nouveau règlement donnera aux autorités de régulation le pouvoir d’imposer des amendes très substantielles et d’exiger la notification des pertes de données aux utilisateurs, ce qui peut les exposer à de sérieuses difficultés, tout particulièrement les PME et les ETI qui sont souvent mal préparées. Ce sont ces organisations qui courent le plus grand risque d’être prises de court après la date buttoir de mai 2018, et ce d’autant plus que les autorités chercheront à montrer en exemple les cas graves de pertes de données, après l’entrée en vigueur du RGDP. Je m’attends à une augmentation progressive de l’intérêt pour les technologies de chiffrement dans la seconde moitié de l’année 2017, avec la prise de conscience graduelle des exigences du RGDP, suivie d’un pic début 2018 quand les entreprises se précipiteront pour être prêtes avant mai 2018. »

Sophos donne les conseils suivants :

1. Ne pas faire preuve de négligence : il est crucial de prendre le RGPD et la protection des données à caractère personnel au sérieux dès aujourd’hui.

2. Prendre le temps de bien comprendre le RGDP et les mesures à mettre en place. Dans le doute, il ne faut pas hésiter à prendre conseil auprès de ses partenaires en sécurité informatique et d’experts juridiques.

3. Travailler étroitement avec sa DRH pour s’assurer que ses employés comprennent les mesures mises en place pour protéger leurs informations à caractère personnel.

4. S’assurer que ses employés comprennent ce que l’entreprise attend d’eux pour assurer la protection des données personnelles détenues. Ils doivent être pleinement conscients que la sécurité des données de leurs clients dépend de leur bon comportement, de la même manière que la sécurité de leurs propres données personnelles dépend du bon comportement des employés du département des Ressources Humaines.

5. Ne pas donner à ses employés l’accès à des données dont ils n’ont pas besoin pour leurs missions - le RGPD considère que la simple lecture de données à caractère personnel par des personnes non habilitées est une violation de sécurité.

6. Quand l’entreprise collecte des données, elle doit systématiquement les protéger. Dans le doute, il est recommandé de traiter toutes les données collectées auprès de ses employés et de ses clients comme des données à caractère personnel. Mieux encore, il n’est pas nécessaire de collecter des données inutiles. Les pirates ne peuvent pas voler ce que l’entreprise n’a pas.

7. Valoriser le professionnalisme avec lequel l’organisation traite les données à caractère personnel. Il est important de mentionner précisément les données qui sont collectées, ce que l’entreprise prévoit d’en faire et combien de temps elles seront conservées. Il faut éviter le jargon juridiques et privilégier la simplicité dans ses explications. Ainsi, les clients auront davantage confiance en la marque si celle-ci se montre franche et honnête.

8. S’assurer que les mots de passe ne soient jamais partagés et qu’ils soient complexes et uniques. Cela rend non seulement les données plus difficiles à voler, mais c’est également un gage de responsabilité contre les abus de privilèges qui peuvent porter atteinte à la vie privée.

9. Utiliser le chiffrement pour protéger les données contre le vol et le fuites de données accidentelles. Les entreprises en auront besoin pour prouver aux autorités de régulation en charge d’appliquer le RGPD que tout a été mis en œuvre pour protéger les données de leurs employés et de leurs clients.