Règlement Général sur la Protection des Données (RGPD) est un dispositif légal ayant pour objet, la protection de données personnelles des internautes. Cette loi concerne également les éditeurs de logiciels de gestions des interventions. Les entreprises non respectueuses de cette réglementation encourent à des sanctions sévères. Ainsi, c’est parce que le manquement à ce dispositif est passible d’une amende pouvant aller jusqu’à 20 millions d’euros, l’équivalence de 4% du CA mondial. Le RGPD a apporté un changement sur la loi informatique et Libertés de 1978 qui a été elle-même révisée en 1995. Cette révision stipule que les entreprises ne sont plus obligées de procéder à une déclaration auprès de la CNIL. Désormais, elles seront soumises à un régime de responsabilisation et d’auto-contrôle. La tenue d’un registre exhaustif contenant les exploitations de données personnelles des utilisateurs suffisent ainsi à démontrer la conformité de ces entreprises au RGPD.
Le RGPD vise à préserver la vie privée des internautes
Internet étant un lieu à flux important est susceptible de divulguer des données personnelles. Le RGPD a justement pour but d’éviter ce genre de problème en ayant mis en place la notion de « privacy by design », une nouvelle loi européenne privilégiant le respect de la vie privée des utilisateurs. Cette sécurisation des informations personnelles débute dès le lancement d’un service web ou d’une application. La notion de « privacy by default » quant à elle, implique aux entreprises l’établissement de différents dispositifs de sécurisation des données personnelles par défaut tels que le chiffrement, les données cryptées, l’anonymisation… Parmi les lignes directrices des clauses du RGPD, le consentement de l’utilisateur est mis en avant. En d’autres termes, toutes entreprises souhaitant exploiter les données personnelles doivent obligatoirement avoir l’accord préalable des utilisateurs. Les droits de ces derniers c’est-à-dire, le droit de rectification, droit à l’oubli, droit à la portabilité, doivent être affichés clairement.
Qu’en est-il des fuites de données ?
Selon les lignes du RGPD, les entreprises exploitant les informations personnelles doivent disposer d’un plan précis dans le cas où un data breach ou des fuites de données viennent à survenir. Selon cette réglementation, le responsable est obligatoirement tenu d’aviser les autorités dans les prochaines 72 heures. Les victimes du piratage devraient être informées de ce cas dans les plus brefs délais. Des analyses d’impacts préalables (privacy impact assessment, PIA) seront effectuées de manière à procéder à l’analyse et à la cartographie des risques encourus. Par ailleurs, toutes les organisations sont contraints de désigner un délégué à la protection des données (Data protection officer, DPO). Ce dernier assurera le respect du règlement sur la protection de données au sein de l’entreprise.
Le respect du RGPD implique aussi les prestataires
Tout comme le sous-traitant de données, les prestataires sont également concernés par le respect du RGPD. Les différentes plateformes telles que Microsoft Azure, Google Cloud Platform et Amazon Web Services se sont aussi soumis au RGPD bien qu’elles ne soient pas situées dans la zone de l’Union Européenne. Ainsi, c’est parce que cette loi implique toutes les manipulations des données des citoyens européens. D’autres établissements comme Praxedo et services d’hébergement tels qu’OVH se sont également engagés dans cette voie bien avant le lancement officiel du RGPD. En effet, Praxedo a déployé différents moyens de sécurisation des données personnelles de ses clients afin de préserver la vie privée de ceux-ci ainsi que leur anonymat.