Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai 2018 pour impacter les entreprises qui traitent les données à caractère personnel des résidents de l’Union européenne (UE), tous secteurs confondus.

Ce nouveau règlement remplace la directive 95/46/CE de l’UE sur la protection des données.  Conçu pour permettre aux citoyens EU (particuliers et employés) de mieux contrôler leurs données à caractère personnel, ce règlement impose aux entreprises de respecter des protocoles spécifiques pour protéger la confidentialité des données des collaborateurs. Le nouveau RGPD diffère de l’ancienne directive dans la mesure où il entraîne des sanctions majeures en cas de non-conformité, pouvant atteindre 20 millions d’euros ou 4 % des revenus mondiaux de l’entreprise (le montant le plus élevé étant appliqué). Toutes les entreprises qui traitent des données à caractère personnel dans le contexte de la vente de produits ou de services aux citoyens européens doivent s’y conformer. En d’autres termes, dans leur quasi-totalité, les entreprises, où qu’elles soient situées, sont concernées par le RGPD.

La prise de conscience du besoin de gérer et de protéger scrupuleusement les données ne date pas d’hier dans les DSI. Toutefois le RGPD porte le contrôle à un niveau inédit qui va contraindre les équipes IT à décupler leurs efforts. Les données protégées englobent les informations sur l’identité de la personne comme le nom, l’adresse et l’identifiant, mais aussi les données Web, les données de santé et génétiques, les données biométriques, raciales ou ethniques, les opinions politiques et l’orientation sexuelle. Ces informations peuvent en partie résider dans les systèmes de différents départements de l’entreprise : service financier, ressources humaines, marketing, ventes…

Nouveaux rôles et responsabilités

La réglementation identifie précisément les rôles/profils dont la responsabilité est d’assurer la conformité au RGPD : le contrôleur des données, le responsable du traitement et le délégué à la protection des données. Le contrôleur des données détermine la manière dont sont traitées les données à caractère personnel et la finalité de ce traitement ; il veille également au respect du règlement par les prestataires et sous-traitants de l’entreprise. Les responsables du traitement peuvent être les groupes internes à l’entreprise chargés de traiter et de mettre à jour les données à caractère personnel, ou les sous-traitants à qui sont confiées ces tâches en partie ou en totalité. En vertu du RGPD, ils sont tenus pour responsables en cas d’éventuelles violations ou de non-conformité. Il est donc possible que votre entreprise et votre partenaire responsable du traitement des données (un prestataire de services Cloud, par exemple) soient tous les deux passibles de sanctions, même si la faute incombe exclusivement au partenaire responsable du traitement des données.

Toujours selon le RGPD, le contrôleur et le responsable du traitement des données doivent nommer un délégué à la protection des données, qui a pour rôle d’encadrer la stratégie de sécurité des données et la conformité au règlement. Les entreprises doivent compter un délégué à la protection des données dans leurs rangs si elles traitent ou conservent de grandes quantités de données sur les citoyens de l’UE, si elles traitent ou conservent des données personnelles spécifiques, si elles surveillent régulièrement les personnes concernées, ou si elles font partie des pouvoirs publics.

Outre ces nouveaux rôles, le RGPD définit de nouvelles responsabilités :

  • Documentation plus étayée. Pour être conformes aux exigences du RGPD, les entreprises doivent identifier, répertorier et conserver une trace de toutes les données à caractère personnel européennes qu’elles collectent et traitent.
  • Analyses d’impact relatives à la protection des données. Le RGPD exige des entreprises qu’elles procèdent à des analyses d’impact relatives à la protection des données en cas de changement dans le traitement ou de l’introduction d’un nouveau mode de traitement, susceptible de présenter un risque important pour la confidentialité et la protection des données à caractère personnel des résidents de l’UE.
  • Confidentialité. Le RGPD exige que des contrôles de la confidentialité et de la protection des données soient intégrés aux systèmes et processus impliquant des données à caractère personnel des résidents de l’UE, qu’ils existent déjà ou qu’ils soient nouvellement introduits.
  • Sécurité. En vertu du RGPD, les entreprises disposeront d’un délai de 72 heures pour signaler aux autorités chargées de la protection des données toute violation des données des résidents de l’UE.

Conformité des postes de travail

La prise en charge de la conformité n’est pas chose facile pour les DSI. Même les plans les mieux conçus peuvent échouer si des utilisateurs compromettent par inadvertance la confidentialité des données.

Prenons l’exemple d’une Direction des Ressources Humaines dans une entreprise internationale. L’équipe RH est garante de la confidentialité des données qu’elle conserve sur ses collaborateurs dans le monde entier. Imaginez qu’un collaborateur de ce service mette ces informations en péril en téléchargeant accidentellement un logiciel malveillant sur son poste de travail. Ce n’est qu’un exemple parmi beaucoup d’autres qui démontre la  nécessité de surveiller l’activité sur les postes de travail.

Pour la DSI, le travail de surveillance et de garantie de la confidentialité des données commence réellement au niveau du poste de travail. Sans visibilité sur l’activité sur les postes de travail, il est quasiment impossible de résoudre rapidement les problèmes susceptibles de compromettre la sécurité des données ou d’informer les parties concernées en cas de violation.

Dans ce contexte, une solution automatisée qui combine la visibilité sur les usages et une capacité de remédiation sur les postes de travail permet aux équipes IT de :

  • protéger facilement les données à caractère personnel grâce à un pilotage continu et à une résolution automatique des dysfonctionnements,
  • interagir facilement avec les utilisateurs afin de confirmer leur accord,
  • mesurer (dans les 72 heures) l’étendue d’une situation de violation des données à caractère personnel et de stopper sa propagation,
  • éviter et signaler de manière proactive toutes les violations grâce à des analyses d’impact complètes.

En instaurant un niveau de contrôle inédit, il ne fait aucun doute que le RGPD modifie en profondeur la manière dont les entreprises traitent les données à caractère personnel. Le pilotage des postes de travail en mode proactif facilite la mise en conformité et le respect de la confidentialité des données tout en optimisant l’expérience des utilisateurs finaux.

***

Découvrez trois cas concrets où le pilotage de l’activité sur les postes de travail permet d’adresser les risques de non-conformité au RGPD dans cette présentation synthétique.

Related posts:

  1. L’Assurance Maladie relève le défi du contrôle de conformité de 50000 postes de travail pendant la crise sanitaire
  2. Applications SaaS : avez-vous vraiment une bonne visibilité sur l’expérience de vos utilisateurs ?
  3. Un acteur de l’immobilier commercial uniformise les prérequis de connexion de 3500 postes et identifie les usages déviants
  4. Migration vers Windows 10 : une expérience plus qu’un système d’exploitation