La loi européenne RGPD

Mais qu’est-ce que la RGPD ?

C’est une loi qui protège les citoyens européens de l’utilisation et la récolte de leurs données personnelles. A l’origine, c’est un garde-fou contre les GAFA (Google Apple Facebook Amazon et les autres) mais elle s’applique à toute entreprise de la planète qui stocke des informations personnelles de citoyens européens. Cette loi concerne bien sur les données informatiques, mais également les données sur papier !

A quoi suis-je tenu ?

Les données personnelles des INDIVIDUS doivent faire l’objet d’un traitement séparé ; Pour une entreprise B2B cela se limite souvent aux données de paie et de contrat des salariés et aux coordonnées des contacts professionnels de l’entreprise :

Obligation d’informer les personnes que vous stockez leurs données et obtenir leur consentement
Obligation de définir la raison pour laquelle vous stockez ces données
Obligation de lister les données et à quel endroit elles sont stockées et qui peut y avoir accès
Obligation de protéger au mieux ces données contre des attaques extérieures (Virus,hacking,attentat..) et contre des accidents (Incendie, erreur humaine)
Garantie qu’en cas de données compromises il est possible de les restaurer de manière fiable
Obligation d’informer les autorités sous 72H en cas de compromission et de pouvoir déterminer la source/cause du problème

Que dois-je faire pour me mettre en conformité ?

Pour beaucoup de PME qui ne travaillent pas avec les particuliers, c’est en fait assez simple :

Et d’un point de vue informatique ?

Cela se révèle être en fait beaucoup de bon sens :

La plupart des entreprises ont ces éléments déjà en place, mais peut être de manière incomplète ou simplement non maitrisée aujourd’hui.

Et quels bénéfices pour ma PME ?

C’est l’occasion de faire une action importante et pas urgente, c’est-à-dire le type d’actions le plus stratégique pour l’entreprise ;
Faire un point de la situation actuelle, définir ses objectifs de sécurité, corriger les points nécessaires, et documenter l’ensemble.

Le coin de l'expertReplierEn savoir +

Une clé de voute de la mise en sécurité d’une entreprise (comprendre connaitre et maitriser les risques) est la définition de 2 critères :

RPO : Recovery Point Objective
Si tout se passe au plus mal, quelle durée maximale acceptable de nouvelles données modifiées ou créés puis je perdre ?
En général pour une PME, on se situe sur un RPO de 24H, mais cela peut descendre à 2 heures pour certains métiers.
Le RPO zero existe, notamment chez les banques, mais ces systèmes demandent des investissements très lourds avec des systemes de replication synchrones multi-sites.
Le Cloud peut également aider, mais il faut bien analyser les engagements réels des fournisseurs, qui en général ne garantissent contractuellement. rien.

RTO : Recovery Time Objective
Si tout se passe au plus mal, quelle durée maximale acceptable avant de pouvoir travailler de nouveau ?
En général pour une PME, on valide souvent une durée de 1 journée maximum pour une informatique de nouveau opérationnelle après la pire des catastrophes.
Le bon process est donc de valider un RPO/RTO avec la direction , la production et le commerce, puis de voir comment mettre en place les outils pour y parvenir.
Et plus le RPO/RTO est faible, plus l’investissement augmente, jusqu’à être déraisonnable.