Les 6 choses à faire avant la mise en place de la RGPD dans les TPE/PME

Gratuit
Recevez toutes nos informations et actualités par Email.
Entrez votre adresse email :

Le 25 mai, date de la mise en application du RGPD, approche à grand pas et pourtant de nombreuses entreprises n’ont toujours pas entamé les démarches pour s’assurer d’être en conformité avec la nouvelle réglementation. Si les grandes entreprises ont lancé leur chantier depuis un certain temps, les PME et TPE sont encore souvent en attente de voir ce qui va se passer concrètement pour les autres avant de se décider à mettre en place un plan d’actions.

Cependant, comme toutes les organisations, les TPE/PME deviendront responsables de la protection des données sauvegardées, que ce soit celles de leurs clients ou de leurs employés. Le nouveau règlement va leur imposer de stocker des données de manière systématique et sécurisée sous peine de lourdes pénalités qui peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires.

Pourtant, il leur suffit de quelques actions pour mettre en place une structure sécurisée afin d’être conformes à la loi, explique Valéry Giorza, Sales Manager France, Buffalo Technology :

1 – Nommer une personne responsable de la protection des données (Data Protection Officer ou DPO)

Cette personne sera le relais du RGPD au sein de l’entreprise et devra posséder des connaissances à la fois techniques et juridiques. Elle devra également savoir communiquer en interne les enjeux de la loi et faire des recommandations à la direction générale, en toute indépendance, quitte à aller à l’encontre de pratiques business établies. Faute de recrutement, cette fonction peut être externalisée auprès d’un prestataire (avocat ou consultant).

2 – Établir le territoire de données concernées

Tous les départements de l’entreprise, en particulier DRH et marketing, grands consommateurs de données personnelles, doivent participer à cette étape. Il s’agit d’identifier parmi les processus d’information de l’entreprise, tant informatiques que papier, ceux qui sont concernés par la réglementation et d’évaluer leur niveau de conformité. Pour cela, il faut les soumettre à une étude d’impact (Privacy Impact Assessment ou PIA) qui déterminera les risques. La CNIL a d’ailleurs récemment mis à disposition un logiciel libre et gratuit permettant cette évaluation, disponible sur son site web. Et le Clusif a édité une cartographie des données à caractère personnel qui peut aider à s’y retrouver.

3 – Mettre en place un plan d’actions

Il faudra repenser l’infrastructure informatique pour l’adapter à ces nouvelles contraintes de sauvegardes sécurisées et mettre en place des solutions d’anonymisation et de chiffrement pour les données les plus critiques. Dans cette optique, quelques constructeurs, dont Buffalo, proposent des solutions de chiffrement accessibles directement sur leurs serveurs NAS, évitant ainsi qu’une intrusion malveillante ou un vol de matériel ne mettent en danger l’intégrité des informations archivées. Ces matériels permettent également de définir avec précision  les autorisations d’accès aux différents dossiers de l’arborescence tout en protégeant spécifiquement le répertoire racine.

Il faudra également prendre en compte l’exercice des droits des personnes concernées par les informations stockées, à commencer par le recueil du consentement en passant par le droit à l’oubli. La finalité de chaque traitement des informations doit être clairement établie, ainsi que la durée de leur conservation. Par rapport à beaucoup de situations actuelles, cela va impliquer une révision en profondeur des politiques de confidentialité des entreprises.

La responsabilité s’étend également aux sous-traitants, et il conviendra d’ajouter une clause spécifiques sur leurs nouvelles obligations aux contrats fournisseurs, qu’ils soient dans ou hors de l’Union Européenne, si les données concernent des citoyens européens.

4 – Installer la nouvelle architecture

Une fois la nouvelle infrastructure validée, il faudra l’installer effectivement, en prenant en compte différentes solutions de backup et de réplication pour palier tout problème de sauvegarde de données dans le futur. Pour cela, il faudra s’appuyer sur la cartographie des données effectuée précédemment pour déterminer quelles sont les données critiques et secondaires afin de prioriser la pérennité des différentes sauvegardes. Là encore, des fabricants de NAS, comme Buffalo, proposent des solutions tout-en-un pour répondre facilement à ce genre de besoins.

5 – Définir la nouvelle gouvernance des données

Il s’agira ensuite d’installer une gouvernance spécifique pour garantir l’intégrité des informations stockées durant tout leur cycle de vie, soit de la collecte à la suppression. Il faut donc prévoir le plus haut niveau de protection possible dès la conception d’un nouveau process mais aussi établir la façon dont seront traitées les demandes des personnes faisant valoir l’exercice de leurs droits sur les informations que l’entreprise possède. Et pour finir, prévoir la liste des responsabilités s’il arrivait une fuite de données afin de pouvoir prévenir la CNIL dans le délai convenu de 72 heures.

6 – Former les collaborateurs

Pour certaines entreprises, ces changements peuvent être assez radicaux, il est donc important que ce nouveau respect de la vie privée soit connu de tous, même ceux qui gèrent leurs contacts avec un tableur sur leur ordinateur. Des formations et documents d’information devront donc être mis en place pour expliquer les nouvelles obligations de la loi RGPD.

Pour sauvegarder les données en réseau, il existe aujourd’hui différentes solutions qui peuvent s’avérer fiables : les NAS (Network Attached Storage) et le Cloud (les données sont alors hébergées dans des Data-Center externes à l’entreprise), voire même les disques durs externes, connectés uniquement à un ordinateur à la fois.

Beaucoup de grandes entreprises se dirigent vers les solutions Cloud. En général, il n’y a pas de frais d’entrée, mais cela oblige à souscrire à un abonnement à la facturation récurrente : une solution qui peut devenir très onéreuse en fonction de la quantité de données stockées. Contrainte de taille : il faut un accès internet et un Data-Center accessible à tous les employés. Ici, la qualité de la connexion est déterminante pour accéder aux données. Pas d’accès internet, pas d’accès aux données. Ce coût et ce besoin d’une connexion permanente peuvent détourner bon nombre de TPE/PME de cette option.

À la différence du cloud, le NAS a évidemment un coût d’achat mais comme il ne nécessite pas d’abonnement il n’engendre pas de frais supplémentaires réguliers. On paye une fois pour toute. Et à la différence du cloud où l’on raisonne en Go et en durée d’utilisation, avec un NAS, on parle en To sans contrainte dans le temps. Le NAS est en réalité un cloud personnel, privé, localisable qui n’a pas besoin d’être connecté au réseau extérieur pour être fonctionnel. Il peut cependant être consultable depuis l’extérieur si son propriétaire le souhaite.

Les NAS sécurisés peuvent ainsi être la solution pour de nombreuses TPE/PME pour lesquelles l’idée de s’occuper elles même de leur données a quelque chose de rassurant. Mais, il faudra prendre grand soin de choisir son matériel en conséquence. Le NAS professionnel doit être facile et rapide à mettre en place, il doit disposer de disques durs chiffrés pour éviter vols et intrusions mais il doit aussi permettre un démarrage protégé (il reconnait le LAN sur lequel il est connecté). Il doit également pouvoir répliquer les données sur un autre disque ou NAS, en local ou à distance voir même sur le cloud si la solution est adaptée pour un backup.

Totalement fermé, le NAS sécurisé est une alternative au cloud pour protéger les données de l’entreprise et celles de ses clients qui est facilement accessible pour les TPE/PME.

sources: infodsi.com

  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »