Depuis quelques années, le RGPD suscite un vif intérêt et soulève de nombreuses questions, et pourtant est ce que vous savez réellement ce que c'est ? Parce que OUI, cette réglementation nous concerne tous, que nous soyons utilisateurs ou professionnels !
Selon economie.gouv, le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l'Union européenne (UE).
Ce texte a été mis en place pour répondre aux défis croissants posés par la numérisation de notre économie et l'essor de toutes sortes de technologies.
Les objectifs comprennent notamment :
1. Protection de la vie privée,
2. Harmonisation les lois sur la protection des données au niveau européen,
3. Adaptation de la législation aux évolutions technologiques,
4. Renforcement des droits des individus,
5. Responsabilisation des entreprises et les organisations.
Le dernier point nous intéresse particulièrement, aujourd'hui toute entreprise ou organisation est en capacité de récupérer et stocker des données, mais comment parvenir à une conformité RGPD sans faille ?
Les infos qu'on amasse, c'est pour une raison précise, une finalité, et on ne les utilise pas pour autre chose ensuite. Ce qu'on fait avec ces données, ça dépend vraiment de ce qu'on voulait en faire au départ. Finalement, on les utilise juste pour ce qu'on avait prévu au départ, pas plus.
Imaginons que le site web d'une entreprise collecte des informations personnelles lorsqu'un client crée un compte sur la plateforme.
La finalité de la collecte de ces données est de permettre à l'entreprise de fournir des services de vente en ligne à ses clients, tels que le traitement des commandes, la livraison des produits et le service client.
L'entreprise collecte les données personnelles des clients (nom, adresse, adresse e-mail, numéro de téléphone, etc.) dans le but de faciliter les transactions et offrir une expérience d'achat en ligne personnalisée.
Dans cet exemple, l'entreprise n'utilise pas les informations personnelles des clients pour des activités de marketing sans leur consentement explicite.
On ne collecte que les infos vraiment nécessaires pour atteindre notre but.
L'idée, c'est de ne pas trop s'encombrer avec des tonnes de données. On se concentre juste sur celles dont on a vraiment besoin pour faire avancer les choses dans la bonne direction : on fait le tri !
Supposons qu'une entreprise d’e-commerce lance un nouveau service de livraison à domicile.
L'objectif principal de cette entreprise est de collecter les informations nécessaires pour livrer les produits commandés par ses clients dans les délais impartis.
Pour respecter les principes de protection de la vie privée, l'entreprise doit limiter la collecte de données uniquement à celles nécessaires à la livraison. Par conséquent, elle évite de collecter des informations superflues telles que :
Les infos que l'on stocke doivent être identifiées et actives aussi longtemps qu'on en a besoin pour atteindre notre objectif.
Ensuite, on les détruit, on les rend anonymes ou on les archive, tout ça en suivant les règles légales sur la conservation des archives publiques.
Par exemple, la conservation des CV des candidats pour un poste dans votre entreprise ne doit pas dépasser deux ans !
Le candidat a d'ailleurs le droit de demander la suppression de ses informations, aussi une entreprise doit demander son accord si elle souhaite garder ses informations plus longtemps dans le cadre d'une future ouverture de post.
Vous devez tout faire pour que les donnés restent en sécurité et confidentielles, en vous assurant que personne non autorisé ne met la main dessus.
Si vous êtes une entreprise qui travaille dans le secteur de la santé et qui gère les dossiers médicaux électroniques de ses patients, vous êtes responsable de la sécurité et de la confidentialité des données de santé sensibles de vos patients.
On parle ici de mesures physiques (verrouillage des locaux, armoires sécurisées, ...), des mesures logiques et techniques (pare-feu, des logiciels de détection des intrusions, systèmes d'authentification), une gestion stricte des habitations et droits d'accès et l'encadrement des opérations sous-traitées.
Si après un contrôle ou alors plusieurs plaintes, la CNIL, ou son président, peuvent prononcer des sanctions auprès des responsables du traitement des données qui ne respecte ces textes.
Les sanctions peuvent aller jusqu'à 20M d'euros ou 4% du chiffre d’affaires annuel mondial.
En respectant le RGPD, votre entreprise démontre son engagement envers la protection de la vie privée de ses clients, ce qui renforce la confiance de vos clients et améliore leur perception de votre entreprise.
Un bénéfice qui découle directement du précédent, c'est bien l'amélioration de votre réputation ! Une entreprise qui respecte les normes du RGPD est plus susceptible de bénéficier d'une meilleure réputation, ce qui peut se traduire par une image de marque positive et un avantage concurrentiel sur le marché.
La conformité au RGPD implique de revoir et optimiser vos processus internes de collecte, de stockage et de traitement des données. En plus de permettre la conformité RGPD, ce travail peut conduire à une meilleure efficacité opérationnelle et à des économies de coûts à long terme.
Comme précisé en introduction, le RGPD est texte réglementaire européen, mais c'est aussi norme largement respectée dans le monde entier, une entreprise conforme au RGPD est mieux positionnée pour accéder aux marchés internationaux et établir des partenariats avec d'autres entreprises.
En mettant en place des mesures de sécurité conformes au RGPD, votre entreprise réduit les risques de cyberattaques et de violation de données, ce qui protège à la fois vos données ainsi que les données de vos clients.
En se conformant au RGPD, votre entreprise peut améliorer la qualité de ses bases de données clients, ce qui permet des campagnes marketing plus ciblées et efficaces, avec un consentement clair et transparent des utilisateurs pour le traitement de leurs données personnelles.
Mr Suricate est là pour assurer la conformité de votre entreprise au RGPD en maintenant sécurité et fiabilité sur vos systèmes informatiques !
Notre gamme de tests complète peut vous aider à identifier et à corriger les failles potentielles dans votre système. L'ensemble de nos tests peuvent être mis à votre service afin de respecter : finalité, pertinence, durée de conservation, sécurité des données et droits des personnes.
Prenez le contrôle de vos applications et détectez les bugs en temps réel sur vos sites web, apps mobiles et API en reproduisant vos parcours utilisateurs à intervalle régulier.