Comment se mettre en conformité avec le RGPD ?
Le Règlement Général pour la Protection des Données (RGPD) entrera en vigueur le 25 mai prochain. Il remplacera la directive adoptée en 1995 qui méritait d’être modernisée du fait de la constante évolution des nouvelles technologies et de l’augmentation importante du nombre de données collectées,
RGPD : Quels en sont les objectifs ?
Le RGPD renforce la protection des données personnelles des personnes physiques, harmonise les droits et lève les obstacles aux flux de données au sein de l’Union Européenne. Il poursuit 3 grands objectifs :
- Renforcer les droits des personnes en leur donnant plus de contrôle sur leurs données personnelles : portabilité (possibilité de récupérer les données communiquées à une plateforme et de les transmettre à d’autres), meilleure information sur l’usage qui est fait des données personnelles, protection des mineurs, recours collectifs, droit à réparation.
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants). Par exemple un responsable des ressources humaines utilisant un système informatique de gestion des ressources humaines est considéré comme étant un Responsable de Traitement. L’éditeur de la solution qu’il utilise est lui le Sous-traitant,
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
A qui s'adresse le RGPD ?
Toutes les entreprises, publiques ou privées, quels que soient leur secteur d’activité et leur taille, disposant d’un établissement sur le territoire de l’Union Européenne, effectuant le traitement de données à caractère personnel (noms, emails, numéro de téléphone, adresse…) sur le territoire européen ou non sont tenues d’appliquer les directives du RGPD.
Quels sont les données et traitements concernés ?
Sont concernées par cette nouvelle règlementation :
- Toutes les données à caractère personnel se rapportant à une personne physique identifiée ou identifiable (nom, n° d’identification, localisation, IP, adresse, données de santé, revenus, centres d’intérêts, etc.).
- Toutes les données dites sensibles (origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale, état de santé ou vie sexuelle, etc.).
- Tous les traitements automatisés ou non : collecte, enregistrement, conservation, classement, archivage, utilisation et diffusion des données.
RGPD : Comment se mettre en conformité ?
Pour se mettre en conformité avec le RGPD, voici quelques mesures à respecter :
- Désigner un Délégué à la Protection des Données (DPD) qui veillera à la sécurité juridique et informatique de son entreprise.
- Cartographier les traitements de données personnelles actuels et déterminer leurs finalités ainsi que leur durée.
- Créer un registre des activités de traitement.
- Revoir les contrats de sous-traitance informatique et de gestion des données.
- Assurer la transparence et l’information des personnes dont les données vont faire l’objet d’un traitement (consentement clairement obtenu), les informer d’incidents de traitement.
- Notifier à la CNIL dans les 72 heures la survenance d’une faille ou intrusion.
- Regrouper la documentation nécessaire pour démontrer la conformité au règlement.
- Assurer en interne la mise en place d’un Référentiel Sécurité adéquat et mis à jour (Charte Utilisateurs des SI, Politique d’habilitation, Politique de gestion des incidents etc.).
- Réaliser des études d’impact.
Quelles sont les sanctions prévues ?
Le RGPD vient renforcer les pouvoirs de sanctions des autorités de contrôle nationales et indépendantes (en France, la CNIL, article 55 à 59). Les amendes peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Quel est l’impact sur les logiciels informatiques et notamment les ERP ?
Ce règlement se concentre essentiellement sur la collecte, le traitement, la conservation et la sécurisation des données. Les entreprises doivent être en mesure de :
- Justifier de l’accord préalable d’une personne (consentement clairement obtenu), le opt-in, lors de la collecte des données la concernant.
- Sécuriser l’accès et la conservation de ces données par le biais de solutions cryptées et sécurisées en interne ou dans un datacenter.
- Garantir l’intégrité de ces solutions.
Tous les ERP SILOG dont SILOG ERP garantissent une sécurité totale des données grâce à la gestion des droits, des niveaux d’accès et des ressources systèmes ainsi que la possibilité de créer des profils utilisateurs. Sa base de données sous SQL Server n’est accessible qu’après une identification renforcée. Toutes les données sont ainsi totalement sécurisées. SILOG est donc en conformité avec cette nouvelle réglementation.
Pour de plus amples informations sur le RGPD, vous pouvez vous rendre sur le site de la CNIL ou aller plus loin sur le sujet des logiciels ERP en suivant notre précédent article sur Logiciel ERP et CNIL.