Les données et le RGPD: Comment s’en sortir?

Depuis le 25 mai dernier, le règlement général sur la protection des données personnelles (RGPD) force les entreprises à implanter plusieurs mesures afin de respecter les nouveaux droits des citoyens Européens en lien avec les données et le respect de la vie privée.

Le RGPD vise autant la façon dont les données sont utilisées au sein d’une entreprise que la sécurité de celles-ci. Si votre entreprise manipule les données de citoyens Européens, vous devez vous soucier de la nouvelle loi même si les données ne sont pas le secteur d’activité économique principal de votre entreprise.

Comment s’en sortir? Voici quelques éléments à considérer.

Simplifiez votre collecte des données

Pour assurer le respect de la vie privée, qui est au cœur du nouveau règlement général sur la protection des données personnelles, les entreprises doivent commencer par effectuer une revue complète de leurs pratiques en lien avec les données personnelles afin d’adopter une approche plus minimaliste. Dans certains cas, les entreprises n’ont tout simplement pas besoin des données personnelles des usagers. Par exemple, des données de recherche de marché pourraient inclure les noms d’individus tandis que seulement le nom de l’entreprise pour laquelle ceux-ci travaillent pourrait suffire. Même chose pour une application IoT (Internet des Objets) qui conserve l’adresse IP d’un usager. Est-ce absolument nécessaire? Est-il possible d’atteindre les mêmes objectifs d’affaires sans ces informations? Bref, le RGPD encourage les entreprises à revoir leurs pratiques et à collecter seulement le minimum de données nécessaires afin d’atteindre leurs objectifs.

Choisissez un partenaire externe pour faciliter la gestion de vos données

Afin de s’assurer de respecter le nouveau règlement, beaucoup d’entreprises vont choisir de faire affaire avec des entreprises spécialisées dans la protection, le masquage et la virtualisation des données. En effet, faire affaire avec un partenaire externe pour faciliter la gestion des données risque d’être beaucoup moins couteux, plus sécuritaire et plus avantageux que de bâtir les systèmes nécessaires à l’interne.

Si vous faites confiance à un partenaire externe, assurez-vous de bien lire votre accord de service. Dans le cas d’une fuite des données, votre partenaire doit être responsable, et non votre entreprise. Il existe cependant quelques exceptions, comme par exemple si un accès non autorisé à la plateforme du partenaire externe a eu lieu à partir de votre organisation, provoquant une fuite des données. Dans ce cas-ci, votre organisation serait responsable, et non le partenaire externe.

Utilisez le RGPD comme différentiateur

Quoique le RPDG entraine des changements importants, le règlement peut aussi représenter une opportunité intéressante pour votre entreprise. En effet, le RGPD vous permet de démontrer clairement les valeurs de votre entreprise en plaçant la protection des données privées au cœur de votre organisation. Ceci peut permettre à votre organisation de se différencier de ses compétiteurs.

Pour réussir, il est important d’impliquer toute votre équipe. La protection des données et le respect de la vie privée ne sont pas l’affaire d’une seule personne, mais doivent faire partie des préoccupations de tout un chacun, incluant les responsables au niveau de la technologie, des produits, du marketing, des ressources humaines et des autres équipes de l’entreprise.

Documentez vos efforts

Assurez-vous d’être prêts à faire face à un audit ou un processus de vérification en lien avec le RGPD. En documentant vos démarches et vos processus internes pour vous assurer de respecter le nouveau règlement, vous gagnerez du temps lors d’un audit. Cette documentation peut également être utile à l’interne, permettant d’expliquer à des nouveaux employés les valeurs de votre entreprise ainsi que les procédures de celles-ci afin de respecter la vie privée.

Misez sur un Délégué à la protection des données

Pour aider les entreprises à naviguer le RGPD, un nouveau métier commence à apparaître dans le secteur du numérique : celui du Délégué à la protection des données (« Data protection officer », ou DPO). La mission du Délégué est de s’assurer que son organisation respecte la nouvelle loi ainsi que la protection de la vie privée des citoyens Européens lorsque les données sont utilisées à des fins commerciales (comme par exemple pour une campagne marketing) ou internes (pour un logiciel utilisé par les ressources humaines, par exemple).

Le rôle du Délégué à la protection des données est fluide et polyvalent. Celui-ci doit travailler avec l’équipe de direction de l’entreprise, l’équipe marketing, les RH, les équipes de développement ou tout autre groupe au sein de l’entreprise qui touche de près ou de loin aux données personnelles. De plus, le Délégué à la protection des données doit posséder une bonne culture juridique et des connaissances en informatique et en cybersécurité afin de bien comprendre les enjeux.

Le « Brexit » ne changera rien

Finalement, la sortie du Royaume-Uni de l’Union européenne (le « Brexit »), qui est prévue pour 2019, ne devrait pas affecter le règlement général sur la protection des données personnelles. En effet, même si le Royaume-Uni décide de quitter officiellement l’Union européenne, le RGPD devrait être adopté comme règlement au sein du Royaume-Uni. En théorie, le gouvernement du Royaume-Uni pourrait un jour décider de mettre sur pied un projet de loi indépendant qui abolirait le RGPD au sein du Royaume-Uni, mais ceci semble peu probable en ce moment puisque le règlement est fort populaire. Bref, la sortie du Royaume-Uni de l’Union européenne ne devrait pas affecter les démarches de votre entreprise en lien avec le RGPD.

Votre entreprise est-elle prête pour le RGPD? Avez-vous des craintes ou des questions par rapport au règlement? Laissez-nous un commentaire dans la section ci-bas !

 

Image Team Askida

Team Askida

L'équipe d'Askida / Team Askida