Le RGPD ou Règlement général sur la protection des données est une réglementation de l’Union européenne déployée pour renforcer et unifier la protection des données pour tous les individus au sein de l’Union européenne. Entré en vigueur le 25 mai 2018, ce texte impose des règles strictes sur la manière dont les données personnelles doivent être collectées, stockées, traitées et utilisées par les organisations. Il accorde également aux individus un plus grand contrôle sur leurs propres données personnelles.
Pour en parler, nous avons invité dans ce 160e épisode du podcast DigiClub powered by Huawei Technologies et Ooredoo Tunisie, Adel Loudhabachi, responsable sécurité des systèmes d’information chez Vermerg.
Si du côté des individus, cette règlementation garantie une panoplie de droits en lien avec la vie privée et les données personnelles, elle vient, pour les entreprises avec un lot d’obligation de conformité qui, in fine, peut générer de l’innovation. Les entreprises étant tenues de se conformer aux dispositions du RGPD en ce qui concerne la collecte, le traitement et la protection des données personnelles. Cela implique de mettre en place des politiques, des procédures et des mesures techniques appropriées pour garantir la conformité et ainsi encourager les entreprises à développer des solutions technologiques respectueuses de la vie privée et à concevoir des produits et services axés sur la protection des données.
La destruction de l’information a, aussi, ses règles. Selon Adel Loudhabachi, une entreprise qui souhaite appliquer le droit à la destruction doit faire appel à un tiers spécialisé pour obtenir une attestation une fois l’opération exécutée et ce qu’elle que soit la technique de destruction utilisée; destruction physique ou formatage.
Dans ce lot d’obligation de conformité, les entreprises, même celles sises en dehors de l’espace Schengen, se doivent d’agir en toute transparence et sous le consentement des propriétaires des données qu’elles collectent, traitent ou stockent. En d’autres termes, même en étant en possession d’une base de données dont la constitution remonte à avant 2018, année d’entrée en vigueur du RGPD, une entreprise se doit soit de faire une mise à jour et obtenir un consentement clair sur l’utilisation des données en question ou appliquer le droit à l’oubli en détruisant les informations dont elle dispose.
Les entreprises sont, selon les dispositions du RGPD, tenues de mettre en place des solutions de sécurité appropriées pour protéger les données personnelles contre toute perte, vol, divulgation non autorisée ou accès non autorisé. Cependant, comme le risque zéro n’existe pas et qu’une entreprise peut faire face à un problème de sécurité, elle se doit en cas de fuite accidentelle des données ou d’incident de cybersécurité, notifier le régulateur sous 72 heures ainsi que les individus concernés.
Selon Adel Loudhabachi, le fait de ne pas notifier une brèche de sécurité impliquant une fuite de données constatée peut engendrer des sanctions car l’entreprise bascule, dans ce cas, dans la préméditation. « Je recommande aux entreprises tunisiennes de faire preuve de bonne foie en nommant un DPO (délégué à la protection des données) pour rester ainsi conformes ».
En vertu du RGPD, les entreprises doivent, en effet, désigner un DPO dont la mission est surveiller la conformité au RGPD. Elles doivent également tenir des registres des activités de traitement des données et effectuer des évaluations d’impact sur la protection des données.
La sensibilisation est aussi un aspect important à prendre en considération. Les entreprises doivent, selon notre invité, sensibiliser à l’importance de l’application des règles du RGPD. « Cela est une preuve que je peux avancer, en tant qu’entreprise, aux autorités de contrôle. In fine, les failles arrivent ».
L’épisode au complet est disponible en version audio sur notre canal SoundCloud et en version vidéo sur notre chaîne Youtube.
Nadya Jennene
