Comment éviter les amendes prévues par le GDPR ?
17120
post-template-default,single,single-post,postid-17120,single-format-standard,ajax_fade,page_not_loaded,,qode_grid_1300,qode-theme-ver-10.1.1,wpb-js-composer js-comp-ver-5.0.1,vc_responsive
 

Quatre conseils aux entreprises pour anticiper le GDPR

Quatre conseils aux entreprises pour anticiper le GDPR

Appliqué dès le 25 mai 2018, le GDPR prévoit des sanctions représentant jusqu’à 4% du chiffre d’affaires annuel. Comment éviter de telles amendes ? Voici les 4 recommandations de Michael Corcia, manager consultant en gestion des risques chez Blue Soft Group.

Renforcer la sécurité des traitements de données et encadrer leur libre circulation : c’est l’ambition du nouveau règlement européen « General Data Protection Regulation » (GDPR). L’objectif de Bruxelles : inciter les entreprises à mieux sécuriser leur système d’information (SI) pour réduire les risques de fuites d’informations personnelles. Mais aussi redonner aux citoyens le contrôle de leurs données.

Appliqué dès le 25 mai 2018, ce règlement prévoit des sanctions administratives et financières en cas de non-respect du règlement : jusqu’à 4% du chiffre d’affaires annuel. Comment se mettre aux normes et éviter d’être épinglé par Bruxelles ? Réponses en 4 actes de Michael Corcia, manager consultant en gestion des risques chez Blue Soft Group.

 

#1 Identifier et qualifier les traitements de données personnelles

 

Il est d’abord impératif d’identifier et qualifier les traitements de données à caractère personnel. « Pour chaque traitement de données, il est nécessaire de définir le responsable du traitement, sa finalité, le nombre de personnes concernées, les types de données personnelles collectées ou encore l’implication de sous-traitants ». Cette base servira à alimenter le registre des traitements, tenu par exemple par le data protection officer, pour compiler les informations utiles concernant la data.

« Un journal des mouvements de données doit également être formalisé (notifier l’origine, la durée d’utilisation, le volume de données créées) et sera exigé par la Cnil lors d’un contrôle », ajoute Michael Corcia. « En cas de fuite de données, plus une société sera en mesure de démontrer des actions de formalisation et de mise en conformité GDPR, moins les sanctions seront importantes » estime-t-il.

 

#2 Optimiser la collecte de données personnelles

 

Pour éviter un incident d’ampleur,  il est préférable de réduire au maximum la quantité d’informations collectées : c’est le principe de la minimisation. « Pourquoi récupérer un numéro de téléphone quand une adresse email suffit pour envoyer une newsletter ? », lance Michael Corcia. « Minimiser la collecte de data personnelle permet de diminuer sa surface d’exposition numérique et donc de réduire l’ampleur d’une fuite en cas de cyberattaques. »

 

#3 Responsabiliser tous les maillons de la chaine

 

Sensibiliser le personnel à la cybersécurité et à la protection des données personnelles est indispensable pour distiller les bons réflexes. « Il est aussi capital que le sous-traitant soit audité », prévient le manager consultant en gestion des risques. Et ajoute :

« Il convient d’envisager une mise à niveau des contrats pour y intégrer les exigences GDPR (clauses de réversibilité, mention de la propriété des données, gestion des incidents, etc.) »

Ce droit d’audit, généralement stipulé dans le contrat entre client et fournisseur, incitera les sous-traitants à augmenter leur niveau en matière de protection des données, d’autant plus si le traitement de données est jugé critique.

 

#4 Renforcer la sécurité du SI

 

Il est enfin conseillé de renforcer la protection de son système d’information. « Le GDPR agit comme un levier afin d’inciter les entreprises à franchir certains pas en termes de sécurisation du SI, un peu comme l’a été SOX dans les années 2000 pour le contrôle interne », observe Michael Corcia. Classification des données, analyses de risques, double authentification, IDS, outil de scan de vulnérabilités… les entreprises doivent mettre en place des mesures de sécurité importantes.

La mise à niveau passera aussi par le lancement de tests de pénétration pour évaluer les vulnérabilités. Dernière recommandation : éviter de transférer des données hors de l’UE (hébergement) ; le cas échéant l’application de règles d’entreprises contraignantes devra être prouvée.

Pour aller plus loin dans l’anticipation des risques, consultez  la page expert Blue Soft et retrouvez Michael Corcia.

No Comments

Post A Comment