Guide de conformité législative : le RGPD et tout ce qui va avec

Exigences de sécurité du RGPD

Le RGPD est un sujet incontournable pour tous les médias et comités. Ainsi, des rappels quotidiens sont envoyés pour en préciser le moindre détail et les pénalités prévues en cas de non-conformité. Pourtant, malgré l'importance du RGPD, il est essentiel de ne pas négliger les nombreux autres changements législatifs qui interviennent dans le but de protéger les consommateurs et leurs données à l'ère numérique.

Les entreprises devront se remettre en question pour s'assurer que les principes du RGPD sont intégrés à leurs processus et à leurs flux de travail, non seulement vis-à-vis des données stockées, mais également des collaborateurs, qui sont à la fois les gardiens et les gestionnaires de ces données. Les PDG ne peuvent pas compter uniquement sur leurs équipes informatiques pour garantir la conformité et doivent au contraire s'assurer que tous les collaborateurs de leur entreprise connaissent ces réglementations, ainsi que les processus et les politiques qui les accompagnent.

Le PDG, les risques et la conformité

Alors que les entreprises se préparent aux changements législatifs, le rôle du PDG va croître de façon exponentielle face à l'édification de la loi en tant que priorité absolue. Prenons comme exemple la conformité ISO (27001), qui regroupe un ensemble de bonnes pratiques en matière de sécurité de l'information que les personnes, les processus et les technologies doivent respecter. Tout comme le RGPD, la conformité ISO (27001) exige des entreprises qu'elles assurent des évaluations des risques et de la continuité des activités. L'équipe informatique seule ne peut garantir le respect de ces normes, qui exigent la participation de toute l'entreprise. Dans un bureau, la responsabilité de chacun est engagée, que la personne en question traite d'énormes volumes de données au quotidien ou qu'elle imprime simplement des informations importantes de temps en temps.

Toutefois, il y a aussi des changements législatifs en prévision qui concerneront uniquement les services informatiques. La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) concerne les composants de systèmes techniques et opérationnels en lien avec les données des titulaires de cartes de paiement. Pour ne pas recevoir d'amendes conséquentes, les services informatiques devront suivre rigoureusement une procédure en 3 étapes d'évaluation des données des titulaires de carte, des ressources informatiques et des processus métier concernant les paiements par carte, puis de résolution des vulnérabilités des systèmes de stockage de données et de génération de rapports pour les banques et les marques de cartes appropriées. En outre, ils devront garantir et contrôler la sécurité des données importantes, tout en s'assurant que les bornes, les systèmes et les solutions de paiement sont protégés.

Avec ces changements réglementaires, l'interopérabilité est plus indispensable que jamais. La directive PSD2 encourage la concurrence. Par conséquent, pour que leur entreprise reste compétitive, les PDG devront s'assurer que leur infrastructure informatique est dotée de la flexibilité inhérente suffisante pour faciliter les applications tierces et la mise à profit des innovations internes et externes.

Face à l'augmentation exponentielle du volume de données créées, il est indispensable de comprendre la législation et d'appliquer les protocoles nécessaires au sein de votre entreprise. Les PDG devront jouer un rôle prépondérant dans la diffusion et la mise en pratique d'une législation complexe en matière de sécurité des données, tout en favorisant l'inscription de cette sécurité dans la culture de l’entreprise. Pour y parvenir, il est essentiel de toujours se tenir au courant des derniers changements législatifs.