Le RGPD (Règlement Général sur la Protection des Données) anime de plus en plus de conversations ces derniers mois. Les organisations européennes et même internationales se questionnent sur les impacts de cette nouvelle réglementation. Va-t-elle provoquer de véritables changements dans les mentalités et dans les pratiques, comme de nombreux experts le disent ? Comment anticiper son entrée en vigueur ? Qui est spécifiquement concerné au sein de l’entreprise ? Quel impact sur les mobiles ? Tant de questions dont les réponses restent floues.
Dans cet article, nous allons donc vous éclairer sur les impacts du RGPD en ce qui concerne l’administration des mobiles/tablettes en entreprise. Suivez le guide…
Qu’est ce que le RGPD ?
Rappel sur l’origine du RGPD et les acteurs concernés
Le RGPD (ou GRPD en anglais) est un nouveau règlement européen paru au journal officiel de l’Union Européenne en avril 2016, et qui entrera en application le 25 mai 2018. Contrairement à une directive européenne, ce texte est un règlement, ce qui signifie qu’il est directement applicable dans tous les pays de l’UE, sans transposition. Attention, le RGPD ne s’applique pas uniquement aux états membre de l’UE, il concerne également les organisations internationales traitant des données de résidents européens.
RGPD : quels objectifs ?
Le Règlement Général sur la Protection des Données poursuit 3 objectifs principaux :
- redonner aux citoyens le contrôle de leurs données personnelles
- responsabiliser les acteurs européens et internationaux gérant des données
- unifier les réglementations relatives à la protection de la vie privée dans l’Union européenne
Les sanctions pourront être très sévères : elles pourront grimper jusqu’à 4% du chiffre d’affaires mondial !
Mais au sein de votre entreprise, quelles vont en être les répercussions ?
Le RGPD : les données clients/salariés et la mobilité
Vos flottes mobiles : des points sensibles de traitement des données
Cette nouvelle réglementation a pour vocation de mieux protéger les données à caractère personnel. Votre flotte mobile est donc complètement dans le giron du RGPD. Deux types de données personnelles peuvent être collectées et traitées sur les smartphones et les tablettes de l’entreprise : celles des clients et celles de vos salariés.
En effet, les flottes de smartphones ou tablettes font aujourd’hui partie intégrante des Systèmes d’Informations des entreprises. Les mobiles sont des points stratégiques d’entrée et de sortie de données clients parfois sensibles. Les salariés les transportent partout avec eux et les accès aux terminaux ne sont pas toujours sécurisés, les réseaux utilisés non plus.
Aussi, soyez vigilant et ne négligez pas les informations personnelles concernant vos salariés qui peuvent être collectées, que vous le vouliez ou non, par le biais des terminaux de l’entreprise. Elles doivent être prises en compte de la même manière que les données clients.
Bref ! Les risques de violation RGPD sont importants sur les mobiles de l’entreprise. Il faut donc apporter des réponses techniques et organisationnelles appropriées.
Que stipule le RGPD en termes de données à caractère personnel ?
Le premier élément à prendre en compte est le principe de protection des données dès la conception. Les mesures que vous allez mettre en oeuvre devront s’appliquer dès la conception initiale des moyens de traitement, puis tout au long du cycle de vie du processus jusqu’à la suppression desdites données. En d’autres termes : vous devez réfléchir à l’intégralité de la chaîne parcourue par les données. Le RGPD est très clair sur ce point : aucune faille n’est permise.
A prendre en compte également : le principe de protection des données par défaut. Cela signifie que seules les données nécessaires et justifiables peuvent être collectées. Vous ne pouvez pas demander des informations dans l’optique de “potentiellement” les exploiter ultérieurement.
Enfin, vous devrez être en mesure de prouver que des mesures de sécurité suffisantes ont été mises en place et que la conformité est surveillée régulièrement. Les pénalités pouvant être très importantes, ces obligations ne sont pas à prendre à la légère.
Mobilité : comment se mettre en conformité avec le RGPD ?
Établir une cartographie de l’existant et penser à l’avenir
Seulement 20% des entreprises[1] environ sont déjà en conformité totale avec le RGPD. Si vous ne faites pas partie de ces 20%, rassurez-vous, selon une autre étude[2] plus de 50% n’aurait encore pas de plan de conformité afin de préparer l’arrivée de la nouvelle réglementation. Cependant, il n’est pas question de perdre du temps, il faut prendre le taureau par les cornes le plus tôt possible pour ne pas se laisser déborder ou risquer une amende. Mais par où commencer ?
Une méthode efficace consiste à faire un travail de cartographie approfondi. Où sont stockées les données de vos clients et de vos salariés ? Transitent-elles par les mobiles ? Les terminaux de vos flottes sont-ils suffisamment sécurisés ? Faites-vous un travail régulier de suppression des données obsolètes ? De très nombreuses questions auxquelles vous vous devez d’avoir les réponses si vous souhaitez être en accord avec le RGPD. Une fois que ce travail sera fait, vous pourrez entrer dans le vif du sujet et trouver une solution pour mieux gérer la mobilité au sein de votre entreprise
Un EMM pour gérer votre flotte dans le respect du RGPD
Mettre en place des solutions EMM (Enterprise Mobility Management) pour gérer la mobilité en entreprise n’est pas toujours un réflexe. Elles ont pourtant de très nombreux avantages.
Dans le cas du RGPD, elles seront un précieux allié pour vous mettre en conformité rapidement. En effet, mettre en place un EMM pour gérer vos terminaux mobiles permet de :
- délimiter vie pro et vie perso de vos salariés. Avec les bons paramétrages, les données personnelles de vos salariés peuvent devenir inaccessibles.
- mettre à l’abri les données de clients en les chiffrant et en en contrôlant l’accès. Une réponse parfaite au principe de protection des données
- avoir une vision globale des terminaux et des applications professionnelles qui leur sont associées. En cas violation de données, l’administrateur peut par exemple auditer les smartphones et les transferts de données et mettre en évidence les actions qui ont conduit à une telle situation. Via l’EMM l’administrateur peut également bloquer certaines applications ou restreindre leur accès au seul utilisateur. Tout ceci renforce la conformité au règlement général sur la protection des données
- protéger les flottes mobiles des diverses menaces liées à la sécurité. En cas de jailbreak/root ou de vol du mobile, grâce aux solutions de gestion de la mobilité, comme MobileIron par exemple, les données sensibles peuvent être supprimées à distance par l’administrateur.
L’EMM – et surtout la façon dont il est mis en œuvre au sein d’une entreprise – peuvent garantir sur la flotte mobile le respect des principes d’intégrité, de confidentialité et de responsabilité, obligatoires dans le cadre du RGPD.
Vous l’avez compris, le Règlement Général sur la Protection des Données, qui entrera en vigueur en mai 2018, constitue un virage important pour les entreprises. Compte tenu de la sévérité des sanctions prévues, mieux vaut ne pas jouer avec le feu et s’assurer d’être en conformité dans les délais impartis !
Nous vous avons présenté ici quelques pistes. Si vous souhaitez être accompagné par un expert du domaine ou simplement en savoir plus, les équipes d’Adjungo sont à votre service.
[1] Enquête 2017 ESET menée par IDC
