Scfi, en tant qu’infogérant et conseiller de votre SI, nous nous devons de vous informer sur une nouvelle directive qui vient impacter l’exploitation de votre SI.
Qu’est-ce que la GDPR ?
GDPR : General Data Protection Regulation*(* Règlement Général sur la Protection des Données)
La nouvelle réglementation européenne GDPR sur la protection des Données a été adoptée par le Parlement européen et le Conseil de l’UE, le 27/04/16. Toutes les entreprises, les Associations, les Etablissements publics, administrations, collectivités locales et syndicats professionnels, de tous les pays membres doivent obligatoirement se conformer à cette réglementation avant le 25 MAI 2018.
Que retenir de cette GDPR ?
Ce texte composé de 99 articles impose des règles sur la protection des données à caractère personnel et remplace toutes les lois nationales, pour protéger les libertés et les droits fondamentaux des personnes physiques. Ces données peuvent être des Identifiants / des Noms / des N° / localisations /etc…Liées directement ou indirectement à l’organisme. Cette loi sur les GDRP protège toutes les données des employés, clients, partenaires, prospects, prestataires... Le point culminant de la GDRP est de fournir un consentement éclairé, de garantir au maximum aux individus l’effacement de leurs données s’ils le désirent, et une meilleure gestion et protection de celles-ci.
Une autorité de Contrôle :
Une autorité de Contrôle est nommée, en France, la CNIL, qui a pour pouvoir (Art. 58) :
- Mener des enquêtes sous la forme d’audits sur la protection des données
- Ordonner au « Responsable du Traitement » de communiquer à la personne concernée, une violation de ses données à caractère personnel
- Imposer une limitation temporaire ou définitive du traitement.
- Imposer une Amende (au plus fort de 20 M€ ou de 4% du CA annuel) en cas de non-respect de la loi et en cas de non-conformité des organismes concernés.
Quelles mesures prendre ?
- Nommer un « Responsable du Traitement » qui lui doit désigner un « Délégué » à la protection des Données.
- Sécurité de Traitement : le « Responsable du Traitement » doit mettre en œuvre les mesures techniques appropriées, afin de garantir un niveau de sécurité adapté (chiffrement).
- Cas de violation de données : le « Responsable du Traitement » doit communiquer à la CNIL sous 72Heures, après en avoir pris connaissance, sauf si des mesures ont été appliquées, telles que le chiffrement des données. Une plainte peut être déposée si la perte de données est effective.
- Chiffrer les données : en référence aux Articles 32-33-34, le chiffrement des données est considéré comme un moyen de rendre les données incompréhensibles et inutilisables, et permet donc de devoir déclarer une perte de données. La solution de chiffrement (cryptage) permet de protéger les données stockées sur les disques durs internes et externes, mais aussi sur tous les supports de stockage (clés USB, carte SD, CD, DVD, …).
- Empêcher les Accès non autorisés : limiter les accès aux données à des personnes non autorisées. Des solutions de contrôles des ports, des connexions réseau, et Wifi peuvent ainsi réduire ces risques.
- Eviter les fuites : que ce soit par actes malveillants ou par erreur, sortir des documents contenant des données à caractère personnel est très simple. Pour l’éviter, il faut mettre en place un système de surveillance avec Logs et alertes, qui contrôle la données avant par exemple d’être envoyée par mail.
- Etudier et Mettre en place des solutions : pour montrer que des mesures ont été mises en place.
Nous étudions en ce moment différentes solutions existantes et en veille auprès des différents éditeurs. L’objectif est d’être prêt pour Mai 2018. Dans ce but, nous ne manquerons pas de revenir vers vous.