GDPR : quelles mesures sont à prendre en compte pour votre Système d’Information ?

Qu’est-ce que le GDPR ?

Le GDPR (General Data Protection Regulisation) est le nouveau règlement européen dédié à la protection des données personnelles. Celui-ci s’appliquera dès le 25 mai 2018 à toutes les entreprises qui collectent, traitent et stockent des données personnelles.

Est considéré comme donnée à caractère personnel tous types de données permettant d’identifier un individu : origines, opinions, état de santé, orientation sexuelle, casier judiciaire, appartenance à un groupe politique…

Ce règlement a pour objectif de garantir à chaque citoyen une bonne gestion de ses données personnelles. Il fournit pour cela un cadre législatif protégeant les données personnelles et oblige les entreprises à apporter à tout moment la preuve de consentement de l’individu.

Tous les acteurs économiques et même sociaux devront respecter ce nouveau règlement de protection : les entreprises, les associations, administrations, collectivités locales ou encore les syndicats entreprises. En effet, lorsque le GDPR invoque les données personnelles celles-ci comprennent les informations des employés, des clients, des partenaires ou même des prospects.

De quelles mesures tenir compte pour votre Système d’Information ?

Afin de correspondre aux exigences du GDPR, les entreprises doivent prendre en compte de nouvelles mesures lors de la mise en place de leur stratégie de sécurité et de l’actualisation de leur Système d’Information :

Droit de suppression et de restitution des données

Les internautes sont aujourd’hui de mieux en mieux informés sur leurs droits en ce qui concerne la protection de leurs données personnelles. Dès l’actualisation de votre SI, il sera important de tenir compte des droits de modification, de suppression et de restitution des données qui vous seront confiées. Il faudra établir une communication adaptée avec vos clients.

Vision sécurisante du Système d’Information

Autre point important : présenter une vision sécurisante et sécurisée de votre Système d'Information. Pour cela, il est conseillé de mettre à jour votre cartographie des flux de données ainsi que le dictionnaire des données et la table des habilitations.

Chiffrement des données sensibles

Avec l’émergence des cyberattaques ces derniers temps, il est devient nécessaire de sensibiliser davantage les entreprises sur la perte de données. Le règlement de protection des données personnelles vous encourage alors à chiffrer les données sensibles pour prévenir les risques.

Désignation d’un délégué à la protection des données

Enfin, dernière exigence à prendre en compte : la désignation d’un délégué à la protection des données (DPP) pour prévenir les risques et assurer la sécurité des données. Jusqu’alors, c’était le CIL (Correspondant Informatique et Libertés) qui occupait cette fonction. Il avait pour mission de tenir un registre des traitements dédié à la sécurité pour permettre au dirigeant d’être exonéré de déclarations à la CNIL et de conseiller l’entreprise dans sa stratégie de sécurité. Désormais le DPD devra notamment mener des audits ou encore tenir des comptes de risques pour la vie privée.

Dès maintenant, il est nécessaire que les entreprises tiennent compte de ces nouvelles mesures. Des tests et contrôles sont à mener dès aujourd’hui afin d’être prêt à l’application du décret en 2018.

Axess fait de la sécurité informatique une priorité afin d’anticiper les cyberattaques et protéger l’ensemble de vos données. Pour cela, Axess met en place un système de sécurité basé sur de la surveillance préventive afin d’anticiper toutes attaques que ce soient des données, réseaux ou encore applicatifs métiers.