RGPD : les bonnes pratiques pour être conforme

RGPD : les bonnes pratiques pour être conforme, comment les mettre en place ?

Le RGPD vise à renforcer la protection des données personnelles des citoyens de l’UE et entrera en vigueur en mai 2018, pour les entreprises de toute taille et de tous secteurs d’industrie, dans toutes les régions.

Quand on voit que  plus de 80% des personnes dans le monde ignorent tout ou presque du règlement général sur la protection des données (RGPD), il y a de quoi s’interroger ! Moins d’une entreprise sur trois est prête à se conformer au RGPD. Le constat est sans appel.

Selon IDC«  Par son ampleur, sa complexité, son coût et son importance stratégique, la mise en conformité au règlement GDPR prendra (au moins) deux ans aux entreprises. La plupart des entreprises ont intérêt à s’y mettre dès maintenant ». (2)

RGPD : 97% des entreprises n’ont pas de plan en place

Les entreprises ne sont pas prêtes, qu’il s’agisse de la réflexion, préparation ou mise en place des plans

– 70% ignorent si leur entreprise se prépare pour le RGPD (3% seulement d’entre eux ont un plan pour tenir l’échéance)

– 44% en Allemagne se sentent préparés, contre 26 % au Benelux

– plus de 75% des sondés en dehors de l’Europe disent qu’ils ne sont pas ou ne savent pas s’ils sont prêts pour le RGPD

–  Près de 50% pensent qu’ils seraient contraints à une sanction financière modérée ou à des mesures de correction relativement simples à gérer

– 25% s’attendent à des changements de leurs actuelles pratiques de sécurité des données et technologies

Bonnes pratiques pour répondre aux exigences RGPD 

Voici les stratégies à suivre pour se protéger et éviter les sanctions.

1. Un responsable de la protection des données recruté: soit un poste à temps plein ou occupé par un salarié ayant d’autres responsabilités, soit confié à un prestataire externe
2. Une solution de gouvernance des accès : réexamen périodique des droits d’accès des managers et délivrance d’une attestation (autorisations adaptées ne compromettent pas la sécurité des données)
3. Une gestion des accès contrôlée : salariés et sous-traitants doivent avoir des droits d’accès appropriés sans sortir de leur périmètre
4. Un périmètre protégé : pare-feu de nouvelle génération pour réduire l’exposition du réseau, prévenir les risques de fuites de données, produire les preuves de sa conformité, appliquer les mesures correctrices
5. Des accès mobiles sécurisés : en combinant composants d’identité, variables liées aux appareils et facteurs temporels

– Une sécurité des emails : avec une visibilité totale sur l’activité des emails

Un manque de compréhension 

Si peu estiment être préparés pour se conformer aux règles de gouvernance des accès (21%), les entreprises en Europe ne sont pas prêtes ou ignorent si elles se préparent pour le RGPD (60%). La plupart estime que leurs pratiques en l’état ne sont pas conformes aux exigences du RGPD, alors que plus de 80% pensent être en bonne voie avec leurs actuelles technologies de sécurité des emails, 60% avec leurs actuelles technologies de gouvernance des accès et 80% avec leurs actuelles technologies de gestion des accès.

(1) Etude réalisée par Dimensional Research pour Dell auprès de  821 professionnels des services IT et autres chargés de la protection de la confidentialité des données dans des entreprises ayant des clients européens, et menée aux Etats-Unis, au Canada, en Asie-Pacifique (Australie, Hong Kong, Singapour, Inde), au Royaume-Uni, en Allemagne, en Suède, en Belgique, aux Pays-Bas, en France, en Italie, en Espagne et en Pologne. Des dirigeants d’entreprises de moins de 100 salariés ont été interrogés également.

(2) IDC – Executive Brief on GDPR: A Primer for Getting Started Towards Compliance » Duncan Brown, mars 2016