Seule la destruction physique garantit une suppression définitive de vos données
Le Règlement général sur la protection des données (RGDP) entrera en vigueur le 25 mai 2018, invitant d’ores et déjà les entreprises à se mettre au diapason, sous peine de sanctions plus importantes qu’auparavant. Plus qu’un investissement financier, la mise en place d’audits et d’outils adaptés répond à des enjeux éthiques et économiques fondamentaux.
Chaque instant, quantité d’informations numériques personnelles et professionnelles, délivrées à son entreprise, sur Internet et les réseaux sociaux, génèrent une valeur marketing et commerciale fondamentale pour ceux qui les exploitent. Emails, identifiants, adresses IP, mais aussi fiches de paie, coordonnées clients, registres RH... , « Le data est devenu le pétrole du XXIe siècle, et l’analytique son moteur à combustion », affirmait la société de conseil Gartner en 2011. Oui mais voilà, à force d’alimenter la machine de milliards de données, soumises à des algorithmes d’exploitation toujours plus performants, il apparut rapidement nécessaire aux autorités de réguler au mieux les usages pour limiter les sorties de route, les piratages opportuns, et toute forme de préjudices relatifs à la fuite des données personnelles des individus. Ainsi, à partir du 25 mai 2018, une nouvelle législation destinée à toutes les entreprises exerçant au sein de l’Union européenne, promet de durcir le ton. Renfort des droits des personnes, responsabilisation des acteurs, coopération entre autorités dédiées et sanctions renforcées, « le règlement général sur la protection des données (RGPD) va exiger des entreprises davantage d’efforts pour rendre plus claires, plus simples et plus fiables le traitement des données, prévient Julien Huet, directeur commercial au sein de la société Shred-it, spécialiste de la destruction sécurisée de documents, partie intégrante des outils à mettre en oeuvre. « Il est en outre primordial pour elles de se préparer dès maintenant à ces nouveaux enjeux, afin de mieux maîtriser la collecte, le stockage et l’évacuation des informations sensibles ».
Un accompagnement spécialisé et personnalisé
Bientôt soumises à des règles plus strictes concernant l’obtention du consentement à l’utilisation des données personnelles (la fameuse « petite case » d’autorisation), les entreprises sont invitées à réaliser une évaluation des risques en matière de vie privée avant d’entamer tout projet (analyse d’impact), nommer un délégué à la protection des données (DPD) – obligatoire suivant les volumes traités par certaines sociétés privées –, doter les logiciels de fonctionnalités favorisant la confidentialité ou encore indiquer de quelle manière elles comptent traiter et utiliser les données qui leur sont confiées.
Ce, dans un contexte de réintroduction du « droit à l’oubli », qui impliquera pour les entreprises de supprimer à tout moment les informations en leur possession sur demande de la personne concernée, et de ne pas les conserver plus longtemps que nécessaire. « Sur les plans réglementaire et opérationnel, conseille Julien Huet, les sociétés peuvent se faire accompagner par des cabinets spécialisés ou juridiques en mesure de mettre en conformité leur organisation avec la réglementation. Sur le volet de l’évacuation des données, la partie de Shred-it, nous proposons des audits de situation, et des solutions de destruction sécurisée via des produits et services (zones de collecte, broyage papier, destruction de disques durs, politiques de sécurité du lieu de travail... ), tous fournis par une chaîne de contrôle sécurisée ». Enfin, les sociétés peuvent également solliciter les services de la CNIL, qui peut intervenir en soutien des actions menées à travers des guides de bonne pratique.
Un argument de croissance décisif
Obligation légale, l’application des règles de la RGPD est d’autant plus judicieuse pour les entreprises que celles-ci s’exposent à des sanctions pouvant engager sérieusement leur santé économique. Avec des amendes qui pour ront désormais atteindre 20 millions d’euros ou 4 % de leur chiffre d’affaires global, les autorités entendent bien crédibiliser leur action. D’aucunes se souviennent encore de leur défaillance, à l’image du groupe télécom britannique TalkTalk, condamné en 2016 à une amende record de 400 000 livres suite à un piratage de données (dont des données bancaires) de 156 000 clients : une affaire qui aurait coûté la bagatelle de 95 000 clients et 42 millions de livres à l’entreprise. De son côté, le géant Google a dû également s’acquitter de 150 000 euros pour manquements à la loi « informatique et libertés », relative à la collecte de données des internautes et le défaut d’informations légales claires de sa nouvelle politique de confidentialité. « Une goutte d’eau pour Google, concède Julien Huet, pour qui le préjudice de réputation ou de violation de confidentialité des individus a peut-être été bien plus dommageable ».
Trop souvent reléguée au second plan par les sociétés, la protection des données demeure aujourd’hui un enjeu de taille. « Les entreprises doivent comprendre que sécuriser ses informations s’inscrit au-delà du coût financier. Cela représente un investissement vital pour se prémunir de fuites potentiellement néfastes, protéger son patrimoine, ses clients, ses partenaires, sa réputation ». Une prise de conscience 80 % Des déchets d’une poubelle en entreprise sont des papiers, malgré l’essor du stockage numérique : autant de risques potentiels pour les données personnelles. (Shred-it) 30 % … des failles de sécurité sont le résultat d’une négligence d’employés ou de prestataires selon une enquête réalisée par Shred-It et Créatest. De plus, 55% des entreprises ne sensibilisent pas leurs salariés à la protection des données. relevant de la culture du risque, comme indispensable levier des stratégies de croissance.
Ce, dans un contexte de réintroduction du « droit à l’oubli », qui impliquera pour les entreprises de supprimer à tout moment les informations en leur possession sur demande de la personne concernée, et de ne pas les conserver plus longtemps que nécessaire. « Sur les plans réglementaire et opérationnel, conseille Julien Huet, les sociétés peuvent se faire accompagner par des cabinets spécialisés ou juridiques en mesure de mettre en conformité leur organisation avec la réglementation. Sur le volet de l’évacuation des données, la partie de Shred-it, nous proposons des audits de situation, et des solutions de destruction sécurisée via des produits et services (zones de collecte, broyage papier, destruction de disques durs, politiques de sécurité du lieu de travail... ), tous fournis par une chaîne de contrôle sécurisée ». Enfin, les sociétés peuvent également solliciter les services de la CNIL, qui peut intervenir en soutien des actions menées à travers des guides de bonne pratique.