Free ShippingON ORDERS OVER $99
Le 25 mai 2018 entrera en vigueur le Règlement Général sur la Protection des Données (RGPD). Cette importante mise à jour répond à la volonté de l’Union Européenne de modifier sa réglementation en matière de protection des données des particuliers et des entreprises.
Au format papier comme électronique, la protection des données à caractère personnel est un enjeu de sécurité crucial. Lorsqu’elles sont volées ou détournées, ces données peuvent causer un grand tort aux individus ou entreprises victimes, notamment lorsque des entités malfaisantes ou concurrentes s’accaparent des informations censées être confidentielles. Pire, ces données peuvent être utilisées à des fins criminelles.
Avec le RGPD, l’Union Européenne prend à la fois acte de ce risque, et du fait que les acteurs économiques et sociaux collectent beaucoup plus de données personnelles que par le passé, et qu’il convient donc de les responsabiliser.
Désormais, cette collecte de données personnelles ne pourra se faire que dans le respect de conditions strictes et légitimes. Les entités collectant des données personnelles seront tenues de les protéger contre toutes formes d’utilisations abusives.
En cas de manquement, et c’est l’un des grands changements induits par le RGPD, les entreprises défaillantes s’exposeront à de lourdes pénalités. Ainsi, à partir de mai 2018, la mauvaise gestion de ces données pourra coûter à une entreprise jusqu’à 20 millions d’euros ou 4% de son chiffre d’affaires annuel global. Autrement dit, la mise en conformité avec le RGPD est capitale. Entreprises face au RGPD.
Alors que le monde a basculé dans l’ère du Big Data, le Règlement Général sur la Protection des Données entend faire de la protection de la vie privée un enjeu de premier ordre. Son objectif est donc de s’assurer que la protection des données personnelles devienne un souci de sécurité majeur pour les entreprises qui les récoltent, en posant un cadre unifié pour l’ensemble de l’Union Européenne. Les règles de consentement se durcissent.
• Les données collectées par les entreprises doivent être traitées dans un cadre légal, avec transparence et de manière sécurisée. Il faudra toujours l’expliciter aux personnes et recueillir leur autorisation.
• Les données collectées par les entreprises doivent l’être à des fins déterminées, explicites et légitimes. Ces données ne pourront pas être utilisées ultérieurement, ni dans un cadre différent de celui pour lequel elles ont été collectées.
• Le spectre de données collectées par les entreprises doit être proportionné, pertinent et limité à ce qui est strictement nécessaire. Ces données doivent être fortement sécurisées, à jour, et conservées pendant une durée qui n’excède pas celle nécessaire.
• La suppression ou la destruction de données obsolètes doit se faire de manière sécurisée.
• Les personnes bénéficient désormais d’un droit à l’oubli et peuvent réclamer à une entreprise la suppression de leurs données personnelles.
• Les personnes bénéficient également d’un droit à la portabilité de leurs données personnelles et peuvent demander qu’elles soient transférées.
• Les personnes bénéficient désormais du droit de contester leur profilage. Autrement dit, il est possible de s’opposer au traitement et à l’utilisation des données cédées dans le cadre d’opération de marketing direct.
• Enfin en cas de manquement à ces obligations, ou en cas de violation de ces données, les entreprises seront désormais tenues de le signaler dans les 72 heures à l’autorité de contrôle, et potentiellement à la personne concernée. En cas de manquement, les entreprises s’exposent à des amendes s’élevant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel global.
Si une grande partie du Règlement Général sur la Protection des Données porte sur le numérique, il convient aussi d’être plus vigilant que jamais avec les documents papiers.
Les documents confidentiels papiers qui transitent ou traînent dans les bureaux peuvent nuire aussi bien aux employés qu’aux clients ou aux consommateurs, s’ils sont volés ou détournés. Le RGPD impose donc également de sécuriser ces données physiques. Les nouvelles amendes promises s’appliquent de la même façon ici.
Selon l’article 5.1 du RGPD, ces données personnelles papiers doivent aussi être traitées de manière licite, loyale et transparente, collectées à des fins déterminées, explicites et légitimes. De la même façon que pour les données personnelles numériques, les données papiers doivent être pertinentes et limitées à ce qui est nécessaire. Elles doivent être à jour et conservées pendant une durée qui n’excède pas celle nécessaire.
Surtout lorsque qu’elles deviennent inutiles, elles doivent être détruites, dans des conditions sécurisées.
La durée de conservation est soumise à des règles précises selon le type de données et les secteurs concernés. La CNIL recense minutieusement toutes les spécificités sur son site. Elles sont consultables ici.
De manière à conserver ces données, il convient d’utiliser des boîtes d’archives et de transfert. Leurs zones d’étiquetage bien visibles permettront de facilement les retrouver. Ces boites d’archive permettent par ailleurs de transporter ces données, en cas de besoin, de manière sécurisée. Afin d’être en conformité avec le RGPD, tout le temps de leur conservation, ces boites devront être placées dans des armoires sécurisées.
Une fois ces données devenues inutiles, ou lorsqu’elles ont atteint leur période de conservation, il est du devoir de l’entreprise, toujours selon le RGPD, de s’assurer de leur destruction également de manière sécurisée. Les entreprises doivent pour cela se munir de destructeurs de documents performants. Ces machines permettent de rendre les documents détruits parfaitement indéchiffrables. Il faudra choisir un ou plusieurs destructeurs d’une taille adaptée au volume de données à détruire.
Le destructeur de documents est un outil pivot dans la mise en conformité avec le RGPD. Il permet de protéger l’activité et la réputation des entreprises, et d’éliminer tout risque lié à la sous-traitance de cette tâche, tout en procédant plus rapidement, et souvent plus économiquement.