Conseils et avis d'experts — 17 janvier 2018

Comprendre vos données

À compter du 25 mai 2018, les entreprises établies sur le territoire de l’Union européenne (UE) et traitant les données à caractère personnel d’individus situés sur le territoire de l’UE seront tenues, dans la grande majorité des cas, de se conformer au Règlement Général sur la Protection des Données (RGPD). Par ailleurs, ce règlement s’appliquera également aux entreprises basées hors de l’UE qui proposent des biens et services ou contrôlent les comportements d’individus situés sur le territoire européen. Si votre entreprise entre dans l’une de ces catégories, un des premiers pas vers la conformité sera de bien comprendre vos données.

De récentes études ont démontré que relativement peu d’entreprises étaient prêtes à faire face à cette nouvelle réglementation. Une enquête YouGov publiée en juin 2017 a notamment conclu qu’à moins de douze mois de l’entrée en vigueur du RGPD, plus de 62 % des cadres décisionnaires britanniques déclaraient n’en avoir jamais entendu parler. Afin de préparer la mise en conformité de votre entreprise, il est indispensable de vous poser plusieurs questions relatives aux données personnelles que vous traitez. Quelle est la nature de ces données ? Où sont-elles traitées ? Qui en assure le traitement ? Et surtout : comment sont-elles protégées ?

Pour être en mesure d’assurer une protection adéquate des données, il faut avant tout avoir conscience de la nature des données que vous traitez. Le RGPD s’appliquera aux données à caractère personnel, à savoir toute information relative à des individus identifiés ou identifiables. Au sein des données à caractère personnel, des règles plus précises s’appliqueront au traitement de données relevant de catégories spécifiques, telles que les origines raciales, ethniques ou religieuses d’un individu, qui ne peuvent être traitées qu’à des conditions plus strictes. Vous devrez donc impérativement connaître tous les types de données personnelles collectées par votre entreprise afin de déterminer si celles-ci appartiennent aux catégories spécifiques définies par le RGPD.

Une fois que vous aurez identifié les types de données personnelles stockées et traitées par votre entreprise, vous devrez déterminer elles sont stockées et traitées. En particulier, votre entreprise se charge-t-elle elle-même du stockage et du traitement des données, ou confie-t-elle ces opérations à des sous-traitants ou fournisseurs tiers ? Si des données à caractère personnel sont traitées par des tiers, il est indispensable de s’assurer que ceux-ci les protègent de manière adéquate, conformément aux termes de votre contrat, et qu’ils prennent eux-mêmes les mesures nécessaires pour se mettre en conformité avec le RGPD d’ici mai 2018. Gardez à l’esprit que même si les données personnelles protégées sont stockées hors de l’UE, par exemple dans un datacenter situé aux États-Unis, elles restent soumises aux dispositions du RGPD. Conformément aux pratiques en vigueur, les mécanismes légaux de transfert de données à l’international, tels que les clauses contractuelles types ou la certification du bouclier de protection des données UE-États-Unis (ou « Privacy Shield ») seront toujours requis pour le transfert de données personnelles depuis l’UE vers les États-Unis.

Une fois ces deux premières étapes franchies, vous pourrez identifier de manière plus précise les personnes ayant accès aux données personnelles traitées par votre entreprise ou en son nom. Différents membres de votre équipe peuvent avoir besoin d’accéder à certains types de données, ce qui peut avoir un impact sur vos méthodes de traitement et de protection des données. Lorsque cela est possible, nous vous recommandons de minimiser l’accès aux données personnelles sensibles au sein de votre entreprise. Qu’il s’agisse de membres de votre entreprise ou des sous-traitants et fournisseurs externes, il est toujours utile de pouvoir restreindre facilement l’accès aux données et d’avoir une bonne visibilité sur les différents accès accordés.

Enfin, il vous sera important de comprendre quelles sont les mesures de sécurité mises en place au sein de votre entreprise. Profitez du RGPD pour passer en revue vos mesures de protection des données et vérifier leur pertinence. N’oubliez pas que l’utilisateur final est souvent le maillon faible de la chaîne de sécurité et que des solutions simples à mettre en œuvre peuvent s’avérer très efficaces. Ainsi, l’authentification en deux étapes ou les formations de sensibilisation pour éviter les écueils ordinaires de sécurité tels que les attaques par phishing peuvent se révéler très efficaces. Lorsque vous aurez identifié les données personnelles traitées par votre entreprise, réexaminez le règlement relatif aux failles de sécurité en vigueur dans votre entreprise afin de déterminer le meilleur moyen de protéger vos données en cas d’attaque.

Aucune liste de contrôle standardisée ne permettra de répondre aux exigences du RGPD, chaque entreprise devra donc revoir ses propres pratiques au regard de cette nouvelle réglementation. Une analyse globale de la nature des données, du lieu où elles sont traitées et des équipes assurant ce traitement, sera donc une étape essentielle de votre mise en conformité, tout comme le sera l’examen des mesures de sécurité en vigueur dans votre entreprise.

Pour découvrir d’autres mesures à prendre en prévision du RGPD et savoir comment Dropbox peut vous aider à protéger et contrôler vos données, cliquez ici.

 

Remarque : nous publions parfois des articles relatifs à des produits et fonctionnalités avant leur lancement officiel.
La date de disponibilité et les caractéristiques exactes de ces produits et fonctionnalités peuvent être différentes des informations présentées ici.
Toute décision d'achat doit tenir compte des fonctionnalités actuellement disponibles.

Faites passer le travail d’équipe à la vitesse supérieure

Essayer gratuitement pendant 30 jours