Le Règlement Général sur la Protection des Données et la sécurité des données papier.

AvertissementAucune des informations citées dans ce livre blanc ne doit être interprétées comme un conseil juridique. Les organisations doivent consulter un conseiller juridique en ce qui concerne le respect du Règlement général sur la protection des données ou toutes autres lois ou réglementations en vigueur.

Destructeurs Rexel La destruction de documents contribue au respect du RGPD

*La destruction au respect du R.G.P.D

Avec les compliments de

Ce livre blanc a pour objectif de vous donner un aperçu du Règlement général sur la protection des données (le « R.G.P.D. ») et de vous en expliquer les impacts sur diverses entreprises. Vous pourrez ainsi élaborer une politique pour sécuriser vos documents avant l’entrée en vigueur du R.G.P.D. en mai 2018.

En quoi consiste le R.G.P.D. ? Le R.G.P.D. exige que les organisations mettent en œuvre des pratiques efficaces pour protéger les données numériques et imprimées sur papier, et qu’en cas de violation de données, elles avisent les personnes affectées ou susceptibles de l’être. Il s’applique à toutes les organisations, indépendamment de leur couverture géographique, qui contrôlent ou traitent des données personnelles relatives à des personnes résidant dans l’Union européenne. En outre, les dispositions du R.G.P.D. s’appliquent aux données personnelles numériques et aux données imprimées sur papier.

Alors que de nombreuses organisations placent, avec raison, la protection des données numériques au premier rang de leurs préoccupations, beaucoup d’entre elles ne se soucient pas suffisamment de la protection des données imprimées sur papier. En fait, près des deux tiers des entreprises admettent ne pas détruire les informations confidentielles1. Les organisations risquent donc d’enfreindre le R.G.P.D. et les personnes concernées risquent d’être victimes de fraude et d’usurpation d’identité. Rexel, marque reconnue de destructeurs de documents, encourage les organisations à évaluer leurs politiques et pratiques en matière de protection des données numériques et imprimées sur papier.

Ce livre blanc vous donnera un aperçu du R.G.P.D. et des défis qu’il pourra présenter aux

organisations.

À propos de ce document

Un aperçuLE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES

Le R.G.P.D. vise à protéger les droits à la vie privée des personnes qui se trouvent en Europe, qu’elles soient ou non citoyens de l’UE. Ces droits comprennent notamment :

Transparence Le droit d’obtenir des informations claires sur le traitement des données personnelles par toutes organisations.

Consentement Le droit de contrôler la manière dont les organisations utilisent les données personnelles.

Sécurité Le droit d’obtenir des informations sur les mesures prises par les organisations pour protéger les données personnelles.

Limitation de collecte Le droit par la personne concernée d’obtenir des organisations la limitation de la collecte et de l’utilisation des données la concernant.

Notification des violations Le droit d’être informé des cas de violation des données.

Le R.G.P.D. fait partie du plan de la Commission européenne qui vise à moderniser et harmoniser les règles sur la protection des données.

Bien que le R.G.P.D. ait pour objectif principal le renforcement des droits à la vie privée, il porte aussi sur la protection des données papier..

Il vise essentiellement à relever les défis grandissants concernant la protection des données et de la vie privée, comme l’exposition aux violations de données, le piratage et d’autres infractions.

Qu’est-ce qui a changé ?LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES

Portabilité des données et droit à l’oubli

Chaque individu a maintenant le droit de transmettre ses données personnelles d’une organisation à une autre.

Les données personnelles doivent être fournies dans un format structuré et lisible par une machine.

Une personne peut exiger l’effacement ou la suppression de ses données personnelles.

Notification des violations de données

Toute violation de données doit être notifiée à l’autorité de contrôle.

Toutes les personnes concernées par une violation de données doivent également en être informées.

Inventaire

Les autorités locales n’ont plus à être informées du traitement des données personnelles.

Mais les organisations doivent tenir un inventaire des activités de traitement des données dont elles sont responsables.

Evaluation d’impact sur la protection des données et sécurité

Ces évaluations d’impact constituent un moyen d’identifier les risques importants d’atteinte à la vie privée.

Les exigences et recommandations en matière de sécurité doivent être basées sur une évaluation des risques.

Gestion des données et responsabilité

Les organisations doivent aussi être en mesure de démontrer leur conformité au R.G.P.D.

Les points suivants décrivent les différents aspects du

R.G.P.D. qui représentent de nouveaux droits pour les

personnes concernées ou des droits existants au titre de la

Data Protection Act (loi sur la protection des données) qui

ont été renforcés dans le cadre du R.G.P.D. :

Le non-respect du R.G.P.D. peut entraîner des famendes pouvant aller jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires mondial de la société, le montant le plus important l’emportant. En outre, une personne concernée a le droit de poursuivre en justice une organisation.

À qui le R.G.P.D.s’applique-t-il ?

LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES

L’entrée en vigueur du R.G.P.D. en mai 2018 imposera des obligations sur les fonctions suivantes :

Gestionnaire des données Il détermine comment et pourquoi les données personnelles sont traitées.

Sous-traitant Il agit sous le contrôle du gestionnaire des données.

Il appartient à ces deux fonctions de faire en sorte que leurs clients respectent pleinement tous les aspects du R.G.P.D. afin que ceux-ci ne se voient pas imposer d’amendes.

Un sous-traitant ou gestionnaire de données devra peut-être désigner un délégué à la protection des données et tenir un inventaire de toutes les activités de traitement de données effectuées pour le compte de clients.

Le R.G.P.D. s’applique aux données personnelles sensibles qu’elles soient numériques ou physiques

Avant l’élaboration d’une politique de conformité, il est important de savoir à quels types de données le R.G.P.D. s’appliquera.

Les données personnelles auxquelles s’applique le R.G.P.D. comprennent toutes les informations concernant une personne identifiable, notamment ses nom et prénom, son adresse électronique et son numéro de téléphone.

Le R.G.P.D. prévoit également des protections additionnelles pour les « données personnelles sensibles ».

Le R.G.P.D. concerne le traitement par les organisations de données personnelles qu’elles soient numériques ou physiques, comme les documents papier.

Ces aspects sont les suivants :

Les personnes Il est indispensable que le personnel assume la responsabilité des données qu’il traite au sein de son organisation. Une organisation doit élaborer des règles bien définies destinées à chacun de ses employés en vue de garantir la bonne gestion de toutes les données numériques et imprimées sur papier. Ces règles doivent être en ligne avec les dispositions du R.G.P.D. Par exemple, peut-être souhaiterez-vous adopter des règles bien définies sur le processus à suivre pour détruire les documents devenus inutiles, en fonction du niveau de confidentialité des données y figurant.

Les process Il s’agit des process mis en place au sein de l’organisation, comme le traitement et la conservation des données sur les clients. Il est essentiel que les entreprises évaluent tous leurs process actuels se rapportant aux données. Après l’identification des faiblesses au sein des process existants, l’entreprise doit élaborer un plan-cadre permettant de les éliminer ou de les remplacer, le cas échéant.

La technologie Les capacités et exigences informatiques actuelles doivent également être évaluées et modifiées en conséquence avant mai 2018. Il appartient à chaque entreprise de prendre les mesures nécessaires pour améliorer ou remplacer tous les systèmes existants qui ne sont pas entièrement conformes au R.G.P.D. afin de ne pas se voir imposer d’amendes après l’entrée en vigueur de celui-ci.

Pour garantir le respect au R.G.P.D. les organisations doivent évaluer trois aspects principaux. En gérant efficacement ces aspects, elles seront en mesure d’élaborer politique de sécurité bien définie pour chacun d’eux.

Un cadre pour se conformer au R.G.P.D.

Pourquoi la protection des documents papier est-elle importante ?Il est maintenant important de se pencher sur la question de la protection des documents papier au sein d’une organisation et d’expliquer pourquoi elle revêt une grande importance quand les entreprises se préparent à se conformer aux dispositions du R.G.P.D.

En fait, d’après un rapport établi par PwC en 2014, avec la collaboration de la société de gestion de documents Iron Mountain2, résultant d’une enquête auprès des entreprises moyennes européennes sur la perception et la gestion des risques de l’information, les deux tiers des personnes interrogées ont déclaré que la gestion des risques liés aux documents papier était une préoccupation prioritaire.

Bien que les entreprises accordent un degré de priorité élevé aux risques numériques, ce serait une erreur que de supposer que les risques de sécurité concernant les documents papier ont disparu.

Sur 598 incidents relatifs à la protection des données, enregistrés entre juillet et septembre 2016 par l’autorité de contrôle britannique, l’Information Commissioner’s Office (ICO) :

14% sont liés à la perte ou au vol de documents, 19 % concernent un envoi par la poste ou télécopieur au mauvais destinataire et 4 % concernent des données laissées dans un lieu peu sûr. 3 % sont dus à l’élimination de documents papier de façon non sécurisée. Par conséquent, en dépit du développement exponentiel des technologies numériques, 40 % des incidents sont toujours liés aux documents papier.3

40%of UK data

security incidents were attributed to paper

des incidents liés à la sécurité des données au

Royaume-Uni concernent des documents papier

Données conservées dans un lieu non sécurisé

Données envoyées par la poste / par télécopieur à un destinataire incorrect

Perte/vol de documents papier

Élimination non sécurisée de documents papier

Incidents concernant la sécurité liée aux documents papier

Les documents papier sont encore à l’origine de nombreuses violations de données

Le respect du R.G.P.D. demande une réelle implication des utilisateurs

Ces informations nous ont confirmé qu’il existe deux freins principaux à la destruction efficace

des documents papier :

Manque de sensibilisation Évoluant dans un environnement où le numérique est omniprésent, les entreprises négligent l’importance des documents papier et ne prennent pas le temps de gérer les problèmes de sécurité qui leur sont associés. L’entreprise ne doit pas se contenter de mettre en place une réglementation, elle doit aussi la communiquer efficacement à tous les niveaux hiérarchiques pour la faire connaître à tous.

Facilité d’utilisation La mise à disposition de destructeurs de documents est essentielle pour assurer le succès d’une politique efficace de destruction de documents. Trop souvent, les entreprises utilisent des destructeurs manuels inefficaces qui ne peuvent pas répondre à leurs besoins, ne permettant pas aux employés de détruire les documents de manière efficace et productive.

Comme la sécurité des données papier reste indispensable à la protection de l’information, comment les entreprises peuvent elles la renforcer ? Rexel spécialiste de la destruction de documents et Kensington, leader mondial de la sécurité physique du matériel informatique, partagent des informations très utiles sur les besoins, exigences et défis des organisations cherchant à se protéger et à respecter le R.G.P.D.

Manque de sensibilisation

Les employés accomplissent généralement les tâches qui sont clairement identifiées par leurs managers.

Ceci étant, une politique claire de destruction de documents sera peut-être en mesure de résoudre de nombreux problèmes.

Selon le sondage PwC/Iron Mountain de 2014 auprès d’entreprises moyennes européennes, seulement 40 % d’entre elles fournissent à leurs employés des instructions claires sur l’élimination et l’archivage internes des documents papier. Elles ne sont que 27 % à avoir mis en place une procédure sur la sécurité, l’archivage et l’élimination d’informations confidentielles de façon sécurisée.

27% SEULEMENT

ont mis en place une procédure pour la destruction des données

R.G.P.D. : Première mesure pour impliquer les utilisateurs

R.G.P.D. : Seconde mesure pour impliquer les utilisateurs

Facilité d’utilisation

Si les employés ne suivent pas les procédures de destruction de documents, c’est souvent parce que celles-ci sont trop complexes et prennent trop de temps.

Bien que les employés aient accès à des destructeurs, ils ne les utiliseront pas nécessairement si l’activité de destruction prend beaucoup de temps ou est difficile à exécuter. Chose peu surprenante, aucune organisation ne souhaite investir dans des destructeurs que leurs employés risquent de ne pas utiliser en raison de leur manque d’efficacité ou de leur complexité. Ces 2 problèmes doivent donc être résolus pour assurer une utilisation maximale.

Augmentez la productivité de vos employés avec la technologie d’auto-alimentation

Conclusion :Les destructeurs auto-alimentés permettent aux entreprises d’encourager leurs employés à respecter la réglementation sur la sécurité des documents papier.

Selon l’une de nos études4, 53 % des employés accumulent une pile importante de documents avant de les passer au destructeur.

Selon une étude indépendante, si les employés pouvaient détruire des piles de papier, ils pourraient consacrer 98 % moins de temps à la destruction5 et seraient disposés à utiliser un destructeur plus souvent.

Détruisez par lot ou en une seule fois53%

Temps de destruction de

500 feuilles

14 sec. avec les destructeurs

Rexel Auto+

14 min. 25 sec. manuellement

R.G.P.D. : Les 6 points clés à considérer

1. Envisager de désigner un délégué à la protection des données Ce délégué doit parfaitement

comprendre quelles données de

l’organisation sont considérées

comme « personnelles », où elles sont

conservées, quelles personnes y ont

accès, comment détecter les violations

éventuelles et à qui les signaler. Le

délégué à la protection des données

n’est pas nécessairement un employé ;

il est possible de sous-traiter ce rôle.

2. Évaluer vos systèmes Évaluez l’ensemble des contrats, services

d’assistance technique, procédures et

outils se rapportant au traitement, à la

gestion, au stockage et à l’effacement

des données. Vous devez pouvoir

identifier toutes les lacunes ou faiblesses

exigeant des modifications.

3. Élaborer une stratégie Élaborez une nouvelle stratégie qui

garantira le respect au R.G.P.D.

Celle-ci peut donner lieu à de nouveaux

investissements technologiques, à une

révision des procédures suivie par le

personnel et à la création de nouveaux

rôles au sein de l’organisation.

4. Mettre en œuvre une nouvelle politique à l’échelle de l’organisationL’étape suivante vers la conformité au

R.G.P.D. consiste à mettre en œuvre

votre plan à travers tous les niveaux

hiérarchiques de l’organisation.

Investissez dans les nouvelles

technologies et les nouveaux systèmes

requis sur le lieu de travail et publiez un

guide sur la gestion et le traitement des

données.

5. S’engager envers le personnelPrésentez votre nouvelle politique sur

la protection des données à tous vos

employés. Fournissez-leur les formations,

informations et guides nécessaires

pour les éduquer et les informer des

modifications prévues et des nouvelles

responsabilités leur incombant.

6. Évaluer et améliorerAprès avoir présenté votre plan de

conformité au R.G.P.D., le moment

est venu de l’évaluer et de l’améliorer

avant l’entrée en vigueur de la nouvelle

réglementation. En identifiant toutes

les améliorations nécessaires longtemps

à l’avance votre organisation se sera

adaptée avec efficacité aux nouvelles

dispositions légales et les respectera

pleinement.

Sources1 envirowaste.co.uk/blog/articles/third-companies-shred-private-documents

2 Beyond good intentions: The need to move from intention to action to manage information risk in the mid-market, un rapport de PwC établi avec la collaboration d’Iron Mountain, juin 2014.

3 ico.org.uk/action-weve-taken/data-security-incident-trends

4 Evaluating Auto Feed Shredders. Étude préparée pour ACCO Brands par Deep Blue Insight

5 Test indépendant effectué par Intertek Testing & Certification Ltd, juin 2012

Économie maximum en utilisant l’Auto+ 500X plutôt qu’un destructeur traditionnel dans la même gamme de prix.

L’étude montre qu’il faut en moyenne 14 minutes et 25 secondes pour insérer manuellement 500 feuilles de papier dans un destructeur traditionnel à alimentation manuelle – mais seulement 14 secondes pour charger le même nombre de feuilles dans un destructeur Auto+ 500X.

www.rexeleurope.com