Modifications principales du RGPD – Check-list

The new GDPR Regulation will change the data securtiy for your business

En tant que voyagiste vous connaissez sans doute le règlement général sur la protection des données (RGPD). Nous avons couvert le sujet dans cet article de l’année dernière. Ne vous inquiétez pas si vous l’avez manqué, nous le récapitulerons dans ce post et vous fournirons de nouvelles mises à jour et modifications clés du RGPD que vous devez connaître et respecter pour pouvoir continuer vos activités.

Le RGPD, qu’est-ce que c’est?

It is really important to be in compliance with the new RGPD

Le RGPD est un règlement qui oblige les entreprises de l’UE à protéger les données personnelles et la vie privée des citoyens de l’UE pour les transactions qui ont lieu dans les États membres de l’UE. Toute entreprise qui ne se conforme pas à la réglementation pourrait subir de graves conséquences.

Le parlement de l’UE a approuvé le RGPD en avril 2016 pour remplacer un décret archaïque de protection des données de 1995 (la directive sur la protection des données). Les entreprises sont tenues à protéger les données à caractère personnel des consommateurs de l’UE et le règlement standardise également l’exportation de données à caractère personnel en dehors de l’UE. Les exigences du RGPD sont le standard dans les 28 États membres de l’UE; et c’est un standard assez élevé qui nécessitera un investissement important de la part de la plupart des entreprises pour satisfaire et gérer les exigences.

Le RGPD est nécessaire en raison de l’inquiétude croissante du public en matière de vie privée. L’Europe a des règles particulièrement strictes concernant la manipulation et l’utilisation, par les entreprises, des données personnelles des consommateurs.

 

Ce que vous devez savoir sur le RGPD

Voici ce que tous les voyagistes qui font des affaires dans l’UE doivent connaître sur le RGPD.

Les voyagistes qui collectent les données des citoyens de l’UE doivent se conformer à de nouvelles règles très strictes concernant la protection des données clients à partir du 25 mai 2018. Le RGPD devrait dresser une nouvelle norme pour les droits des clients concernant leurs données, mais les entreprises comme la vôtre pourraient être mises au défi lors de la mise en place de nouveaux systèmes et processus leur permettant d’être en conformité. Les équipes de sécurité seront confrontées à de nouvelles préoccupations et attentes. Par exemple, le point de vue du RGPD sur ce qui rend les informations personnellement identifiables est sans doute assez vague. Les entreprises devront installer pour l’adresse IP ou les données de cookies d’un internaute, le même niveau de protection qu’ils appliquent pour les noms, les adresses et les numéros de sécurité sociale.

Le RGPD laisse certainement beaucoup d’espace à l’interprétation. Il stipule que les entreprises doivent fournir un niveau «raisonnable» de protection des données personnelles, mais ne définit pas vraiment ce qu’il considère comme «raisonnable». Cela donne à l’organe directeur une grande marge lorsqu’il s’agit d’évaluer les amendes pour non-conformité.

 Le temps est compté pour respecter la date limite, nous avons donc préparé pour vous une check-list des points à respecter pour être en conformité.

 

RGPD check-list

Here you can find a detailed GDPR checklist

Les types de données confidentielles que votre entreprise de voyages doit protéger:

  • Informations d’identité de base comme le nom, l’adresse et le numéro de carte d’identité
  • Données Web: emplacement, adresse IP, tags RFID et données de cookie
  • Données biométriques
  • Race et ethnicité
  • Données génétiques et de santé
  • Affiliation politique et opinions
  • L’orientation sexuelle

Les employés de votre entreprise qui doivent se conformer:

  • Contrôleur de données
  • Gestionnaire de la base de données
  • Responsable de la protection des données (DPO)

Ces personnes doivent s’assurer que les contractuels externes sont eux-aussi en conformité. Les responsables du traitement des données sont les personnes que le RGPD tient pour responsable de toute violation de données. À défaut de plainte de votre part, votre société et votre partenaire de traitement (c’est-à-dire votre fournisseur de cloud) seront tous deux passibles de sanctions.

 

Ce que vous devriez faire dès maintenant en prévision du RGPD:

  • Assurez-vous que votre direction exécutive donne la priorité au RGPD en donnant la priorité à la cyber-préparation.
  • Impliquez toutes les parties prenantes principales, pas seulement votre équipe informatique: en effet, l’informatique seule ne saura pas être à la hauteur des exigences du RGPD. Vos services marketing, commercial, financier et opérationnel doivent travailler ensemble pour s’assurer que toutes les exigences techniques et procédurales sont respectées. Cela leur permettra également d’être en mesure de faire face à tout impact sur leurs équipes.
  • Obtenez un DPO. Le RGPD vous oblige à avoir un délégué à la protection des données (DPO) pour assurer une personne responsable du respect de toutes les règles. Elle n’est pas nécessairement embauchée à temps plein, elle pourrait être contractée ou il pourrait même s’agir de quelqu’un dans votre entreprise qui a un rôle similaire.
  • Effectuez une évaluation des risques. Vous savez déjà quelles sont les données que vous stockez et utilisez sur les citoyens de l’UE, vous connaissez donc les risques qui y sont associés. Vous devez donc définir des mesures pour atténuer les risques. Une façon de faire est de mettre à jour tout le Shadow IT qui pourrait être en train de collecter et stocker des informations sur les clients. Il existe de nombreuses applications qui contiennent des données personnelles; trouvez-les et mettez en œuvre toutes les mesures nécessaires pour être en conformité.
  • Cela étant dit, déployez des mesures pour atténuer les risques. Une fois que vous avez identifié les risques et la manière de les atténuer, votre prochaine étape devrait consister à la mise en place de ces mesures. Peut-être, comme la plupart des entreprises, vous devez réviser les mesures existantes d’atténuation.
  • Assurez-vous que les téléphones mobiles de l’entreprise sont en conformité. Vos employés ont peut-être téléchargé de nombreuses applications sur leur téléphone professionnel qui collectent des données personnelles sur leurs appareils, ce qui crée de nombreux risques pour la non-conformité RGPD. Vous devrez donc examiner les téléphones professionnels et vous assurer que vos employés n’utilisent aucune application non autorisée.Even your company phones need to be checked in order to be in compliance
  • Assurez-vous d’obtenir le consentement du client dans tous les cas de collecte et de stockage de leurs données personnelles, ce qui signifie que vous devez indiquer et expliquer ce que vous avez l’intention de faire avec les données client et combien de temps vous souhaitez les conserver dans les formulaires, cases à cocher, processus de vérification et les autres façons de collecte de données personnelles de clients.
  • Ayez un plan de protection des données. Si vous en avez déjà un, examinez-le et mettez-le à jour pour vous assurer qu’il est conforme aux exigences du RGPD.
  • Faites un plan pour signaler les progrès de la conformité. En vertu de l’article 30 du règlement RGPD, le Registre des activités de traitement (RoPA), vous devez effectuer l’inventaire des applications risquées pour éviter de devenir une victime des organismes de réglementation.
  • Demandez de l’aide si vous en avez besoin, surtout si votre entreprise est de petite taille. Tous les voyagistes seront touchés, peu importe leur taille. Au besoin, engagez des experts techniques pour vous aider.
  • Testez les réponses d’incidents: le RGPD exige que toutes les entreprises signalent des violations dans les 72 heures. Vous devriez donc tester à quelle vitesse vos équipes d’intervention peuvent répondre aux violations.

Suivez la liste ci-dessus dans le but d’améliorer votre entreprise. Selon un sondage de Varonis Systems, 74% des entreprises interrogées estiment que la conformité au RGPD constituera un avantage concurrentiel car elle renforcera la confiance des clients.

 

En conclusion

Il est très important que votre entreprise soit en conformité avec la réglementation RGPD d’ici le 25 mai 2018. Sans quoi vous risquez des pénalités pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel global.

Une exigence particulière, qui peut être difficile à respecter, est que les entreprises doivent effacer les informations personnelles d’un client, pour toujours, avant la date limite. Une enquête de Solix a révélé que 66% des entreprises n’étaient peut-être pas en mesure à le faire à temps pour la date limite.

Cela signifie que de nombreuses entreprises sont vulnérables et propices à recevoir des amendes. La confusion règne toujours sur la façon dont les amendes seront évaluées. Mais pour l’instant, utilisez cette check-list pour vous assurer que vous êtes en conformité avant le 25 mai 2018.

À propos Robert Fink
Tous les articles par Robert Fink

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *