Pour respecter les prescriptions du règlement européen sur la protection des données (RGPD), certaines entreprises vont devoir repenser leur mode de fonctionnement. Mais elles ont beaucoup à y gagner : en sécurité et en performance !
Se conformer au RGPD peut paraître contraignant pour le dirigeant mais se révéler, au final, véritablement payant ! « Plus qu’un défi, la mise en conformité constitue un enjeu pour les entreprises », soutient Gérard Haas, avocat spécialiste de la protection des données. L’enjeu de collecter des données en qualité et non plus en quantité.
Cette démarche, selon lui, creusera un fossé entre les acteurs prêts à l’économie numérique, qui exploiteront des données purgées, et ceux qui s’encombreront de données inactives. Aussi, pour que cet écrémage par la data ne se fasse pas à votre détriment, pragmatisme et bon sens sont d’ores et déjà les maîtres-mots.
Connaître les traitements utilisés par l’entreprise
Concrètement, le dirigeant doit répertorier avec chaque service les traitements de données à caractère personnel qu’il a mis en place. Outre les traitements classiques, les « officieux » doivent aussi être traqués. Autrement dit, tous les documents développés par les collaborateurs pour leur usage individuel, qui ne figurent pas parmi ceux que connaît l’entreprise. On parle ainsi de shadow IT pour les fichiers numériques (fichier xls…) et de shadow papers pour les documents conservés dans des classeurs.
Rationaliser les usages
Dans le même temps, il convient de savoir pourquoi et comment ces traitements ont été constitués. Les doublons, parce qu’ils créent une insécurité sans valeur ajoutée, doivent être supprimés ; les fichiers clandestins utiles peuvent être gardés à condition que les collectes de données pour les constituer soient sécurisées.
Enfin, le personnel de l’entreprise doit être sensibilisé aux différentes règles de sécurité telles que la confidentialité des mots de passe et leur changement régulier. « Une sensibilisation qui passe aussi par la formation », précise Gérard Haas, à l’origine d’un serious game sur la protection des données.
Vous n’avez pas eu le temps de consulter l’épisode 1 : RGPD # 1 : qui mobiliser au sein de l’entreprise ?
Découvrez l’épisode 3 à venir : RGPD#3 : quelles sanctions en cas de non-conformité ?
