Le RGPD entrera en vigueur le 25 mai 2018 dans tous les pays de l’Union européenne. Seuls 14% des entreprises interrogées se disent prêtes. (Photo: Fotolia)

Le RGPD entrera en vigueur le 25 mai 2018 dans tous les pays de l’Union européenne. Seuls 14% des entreprises interrogées se disent prêtes. (Photo: Fotolia)

S’il n’est pas encore trop tard, il est tout de même grand temps pour les entreprises de s’interroger sur leur conformité avec les nouvelles règles de protection des données des clients fixées par le RGPD. Pour les retardataires – selon une étude réalisée par IDC, seuls 14% des entreprises interrogées se disent prêtes –, voici comment s’assurer d’être dans les clous du RGPD.

1. Se faire accompagner

Les conséquences sont trop sérieuses pour considérer la bonne fortune comme une stratégie. Les entreprises de petite et moyenne taille ont tout intérêt à s’entourer de prestataires experts en sécurité informatique. Les prestataires «cloud» et les intégrateurs peuvent aider les entreprises à dresser un état des lieux objectif du niveau de sécurisation des données personnelles de leurs clients afin de définir une feuille de route des actions à mener.

2. Hiérarchiser les priorités

Une fois la cartographie des processus liés aux données dans l’entreprise, de la collecte au nettoyage en passant par le stockage ou l’exploitation, les failles et les axes d’amélioration identifiés, il ne faut pas s’éparpiller. Mais agir en mode projet, de façon à sensibiliser et fédérer tous les services impliqués dans la mise en conformité avec le RGPD. 

3. Choisir les solutions certifiées

Pour garantir la conformité du système d’information de l’entreprise avec la réglementation, mieux vaut recourir à des solutions techniques certifiées BCR compliant («binding corporate rules»). En optant pour une solution BCR compliant, la responsabilité de l’entreprise est en partie dégagée.

4. Accompagner le changement

Vouloir réduire le RGPD à un simple arsenal technique serait une erreur. De nombreux incidents susceptibles de compromettre l’intégrité des données sont liés à des comportements inadaptés des salariés. Il est donc essentiel de former et de sensibiliser les collaborateurs aux bonnes pratiques en matière de sécurité, notamment dans le cadre de l’utilisation des outils de productivité mobile (ordinateurs portables, smartphones et tablettes), souvent exploités à la fois dans le cadre privé et professionnel.

5. Nommer un DPO, le grand challenge

Que vous l’appeliez DPO («data protection officer») ou DPD («délégué à la protection des données»), ce référent sera le garant des méthodes de collecte, de gestion et de protection des données générées par l’entreprise. Il lui incombera notamment de déclarer dans les 24 heures tout incident affectant des données personnelles relatives aux clients de l’entreprise. Cette nomination pourrait rapidement tourner au casse-tête car la pénurie de profils guette. Pour connaître le rôle précis du DPO, les entreprises peuvent se référer aux recommandations du G29, un groupe de travail qui fédère les organismes nationaux en charge de la protection des données personnelles dans les pays de l’UE.

Articles Associés