Sécurité des données sensibles : au regard du RGPD, comment bien protéger votre entreprise ?

Votre entreprise traite des données personnelles notamment de clients, de salariés, de fournisseurs, de prospects ou bien travaille avec des sous-traitants. Le RGPD (Règlement Général européen sur la Protection des Données), en vigueur depuis le 25 mai 2018, encadre et sécurise le traitement de ces données. Conformément à la législation applicable, vous êtes tenu de vous mettre en conformité et de protéger vos données ?

Vos activités vous amènent à utiliser des milliers de données sans même que vous en ayez conscience. Pour être en conformité avec le RGPD, traiter et sécuriser ces données est essentiel. Pour cela, votre entreprise doit peut-être revoir en profondeur ses process de création et d’administration des fichiers qui contiennent des données à caractère personnel, à défaut de quoi vous pourriez risquer de lourdes sanctions en cas notamment de fuite ou de vol de données.

Données personnelles : de quoi parle-t-on ?

La Commission nationale de l’informatique et des libertés (Cnil) définit une donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable »(1). L’identification d’une personne peut être directe avec son prénom et nom ou indirecte à partir d’un identifiant ou d’un numéro par exemple. Un traitement de données personnelles désigne toute opération portant sur des données personnelles : collecte, enregistrement, extraction, consultation… Un traitement de données personnelles n’est pas nécessairement informatisé. Les fichiers papier sont également concernés et doivent être protégés. Un traitement de données doit répondre à un objectif légal et légitime au regard de votre activité professionnelle.

Qu’est-ce que le RGPD et qui est concerné ?

Le RGPD (Règlement Général européen sur la Protection des Données) encadre le traitement des données personnelles sur le territoire de l’Union européenne et s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

  • qu’elle est établie sur le territoire de l’Union européenne,
  • que son activité cible directement des résidents européens.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Vous êtes donc également soumis au RGPD si vous traitez ou collectez des données pour le compte d’une autre entité.
Vos obligations de chef d’entreprise portent notamment sur la sécurité des données. Vous devez être en mesure de garantir conformément à l’article 32 du Règlement notamment :

  • la confidentialité des données en prévenant la fuite ou le vol de données,
  • la disponibilité des données en permettant l’accès à celles-ci,
  • l’intégrité des données en assurant la non-altération de ces dernières.

Ne négligez pas les risques car les menaces sont nombreuses et peuvent venir de toutes parts :

  • une cyberattaque ou un piratage externe,
  • un acte de malveillance d’un salarié ou ex-salarié,
  • une panne informatique,
  • une erreur humaine comme une mauvaise manipulation entraînant la suppression ou la modification accidentelle de données…

Transformez vos contraintes en avantages pour votre entreprise

Le RGPD soumet votre entreprise à des obligations nouvelles que vous pouvez transformer en atouts :

  • le respect des droits et de la vie privée permet de valoriser votre image de sérieux et d’accroître la confiance de vos clients,
  • la mise à jour des données et l’exactitude des fichiers est un bon moyen de renforcer l’efficacité de vos actions commerciales,
  • le recueil, la mise à jour et la sécurisation des données améliorent la gestion de votre entreprise,
  • la sécurisation des données personnelles est l’occasion de réaliser un audit complet de sécurité informatique pour prévenir les failles et les attaques même si les risques ne peuvent être écartés totalement.

Protection des données personnelles et mise en conformité RGPD : plan d’actions

  • Désignez un pilote pour gérer le sujet au sein de votre entreprise.
  • Créez un registre de vos traitements de données.
  • Définissez vos besoins pour trier vos données et ne collecter que les informations pertinentes et essentielles à votre activité.
  • Précisez votre politique de traitement des données sur tous vos supports.
  • Mettez en place un processus pour gérer les droits d’accès, de rectification et d’opposition de leurs données personnelles par vos clients, salariés et prestataires.
  • Mettez en place une cyber hygiène de base et les outils nécessaires pour garantir la sécurité des données de votre entreprise : contrôle d’accès (politique de mots de passe, compte administrateur…), gestion des mises à jour de sécurité, sauvegarde des données…
  • Sensibilisez et formez vos collaborateurs aux risques cyber.

Ce plan d’actions vous permettra de vous orienter vers une mise en conformité à la législation applicable en matière de protection des données. Ne prenez pas ce règlement à la légère car les sanctions encourues peuvent être lourdes pour votre entreprise. Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, à 10 ou 20 M€ ou bien de 2% jusqu’à 4% du chiffre d’affaires annuel mondial de votre entreprise(2).

Se protéger avec une assurance cybersécurité

Face aux failles sécurité et cyber-risques liés aux obligations du règlement RGPD, une bonne solution assurantielle est essentielle. L’assurance Aviva Cyber Sécurité vous permet :

  • d’être accompagné par des experts en cybersécurité; pour gérer les cyber incidents,
  • de bénéficier d’une assistance 24h/24 et 7j/7 en cas de sinistre pour limiter vos pertes financières et préserver votre image,
  • de profiter d’une protection étendue contre les risques numériques avec la prise en charge notamment des frais d’assistance, des frais de reconstitution de données et des pertes d’exploitation consécutifs à des actes de malveillance, des pannes ou des erreurs humaines (dont erreur de programmation)
  • d’être protégé si la responsabilité civile de votre entreprise est engagée à la suite d’une atteinte à la confidentialité de vos données, une atteinte à la e-réputation ou à une atteinte à la disponibilité et à l’intégrité des données d’un tiers suite à la transmission d’un virus, d’un ransomware ou de tout autre acte de malveillance informatique,
  • d’être couvert en cas de fraude informatique.

Votre entreprise stocke, traite ou transmet des données ? Face au risque de fuite ou de perte de données, pensez à vous assurer afin de protéger votre entreprise contre le « risque RGPD » et les risques numériques. Découvrez notre solution Aviva Cyber Sécurité !

(1)CNIL https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on

(1)CNIL https://www.cnil.fr/fr/definition/sanction

Document non contractuel à caractère publicitaire à jour le 03/07/2020

Découvrir Aviva Cyber Sécurité

Entretien du jardin : quelles responsabilités pour le propriétaire et le locataire ?

Avoir un jardin, c'est très agréable mais ça demande de l’entretien ! Il ...

Travaux de rénovation thermique : quels aides et avantages fiscaux ?

Les travaux de rénovation thermique améliorent le confort de votre logement ...

Inondation, orage, pluie violente : rester en sécurité et être bien indemnisé

Fortes pluies, orages violents, inondations soudaines… Pour rester en sécurité ...