Fixer les règles

Je vous ai parlé les semaines précédentes de la nécessité de protéger vos données. Vous êtes également à même d’identifier les différentes catégories de données utilisées par votre entreprise.

Une fois que vous savez de quelles données vous disposez et quelles sont les obligations qui s’y appliquent, il faut répercuter ces obligations à tous les niveaux, c’est-à-dire à toutes les personnes traitant ou ayant accès aux données concernées, en d’autres termes, à toutes les personnes à qui vous confiez ces données.

Le principe de base, la responsabilité première, c’est d’informer. Il faut garder à l’esprit que le risque ne vient pas seulement des attaques et des hackeurs. La majorité des failles de sécurité et des divulgations non souhaitées sont la conséquence de simples négligences de personnes mal informées des risques et des mesures à prendre pour s’en protéger ou cultivant une certaine forme de fatalisme sur ce sujet.

Or les mesures techniques mises en place par votre prestataire informatique sont inutiles si elles ne s’accompagnent pas d’une conscience des obligations et de comportements appropriés par chaque utilisateur des données et des outils informatiques.

La bonne diffusion des procédures et règles internes et la sensibilisation tant des collaborateurs que des partenaires, afin d’adapter les comportements, s’avère donc cruciale.

Adapter les comportements c’est essentiellement 2 choses :

  1. s’assurer que les mesures techniques non seulement ne seront pas contournées mais également qu’elles seront rendues pleinement efficaces par l‘acquisition par les utilisateurs des outils informatiques d’un certain nombre de réflexes et bonnes pratiques de type « hygiène informatique »
  2. c’est également s’assurer du respect de la confidentialité des données d’un bout à l’autre de la chaîne, chaque destinataire ou utilisateur des données étant un maillon de cette chaîne.

 

En effet, en fonction des engagements qui ont pu être souscrits ou des obligations qui peuvent s’appliquer, il peut être important de :

  1. Limiter la diffusion de certaines informations aux seules personnes ayant à en connaître ;
  2. Les informer des obligations qu’elles doivent respecter ;
  3. Assortir ces obligations d’un minimum de sanctions afin qu’elles soient prises au sérieux.

 

Pour ce faire, un certain nombre d’outils juridiques est à mettre en place à côté des outils techniques de sécurité :

  1. Informer, sensibiliser et responsabiliser en interne grâce à une charte informatique adaptée à l’activité et aux caractéristiques de votre entreprise ;
  2. Aménager les obligations contractuelles chaque fois que possible (lisez et discutez vos clauses, répercutez tout ce qui peut l’être en termes de responsabilité aux différentes parties prenantes : partenaires, prestataires, sous- traitants…) ;
  3. Le tout devant, pour être efficace, s’inscrire dans un dispositif conforme à la réglementation, en particulier la règlementation CNIL / RGPD.

L’ANSSI met à votre disposition sur son site un guide comportant les 8 points clés qui doivent être couverts par une charte informatique.

 

A vous de jouer !

N’oubliez pas :

  • Nul n’est censé ignorer la loi
  • Les contrats légalement formés tiennent lieu de loi à ceux qui les ont faits (article 1134 ancien et 1103 nouveau du Code civil)

C’est également votre compétitivité même qui va en dépendre à plus ou moins court terme, car, du fait de l’évolution des risques, les exigences de vos clients et partenaires ne peuvent aller qu’en s’intensifiant.

Je vous invite, vous l’aurez compris, à considérer cette contrainte que représente incontestablement le RGDP comme l’opportunité d’une véritable prise de conscience qui va vous permettre d’adopter les bons réflexes et de protéger l’ensemble des données détenues par votre entreprise.

Autant, donc, s’en saisir et entrer sans hésiter dans une nouvelle logique de prise en compte du risque… et d’action sur le long terme !

-Publicité-
Avocat et fondateur du cabinet Withlaw, basé à Rennes.

Le cabinet intervient au quotidien auprès des entreprises en droit des affaires et plus particulièrement dans les domaines suivants :

IP/IT | Data Protection | Privacy | Cybersécurité
Contrats | CGV | Marketing digital
Politiques RSE | Fondations d'entreprises | Mécénat

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.