Advertisement

Créer une nouvelle entreprise à l’ère du RGPD – Ce que vous devez savoir

11

advertissement

La protection des données est un défi pour chaque entreprise maintenant qu’une grande partie de ce que nous faisons est en ligne. Et maintenant, grâce aux effets considérables du règlement général sur la protection des données (RGPD) de l’UE, les entrepreneurs doivent accorder une attention appropriée à la protection des données, même lorsqu’ils lancent de nouvelles entreprises. Il n’y a pas moyen de contourner cela.

Malheureusement, les entrepreneurs inexpérimentés ne comprennent parfois pas les implications du RGPD et des réglementations similaires. La conformité peut être particulièrement difficile pour les entreprises qui ne sont pas situées dans l’UE ou dans l’Espace économique européen (EEE). Malgré cela, la conformité est toujours requise.

Si vous êtes un entrepreneur et que vous souhaitez démarrer une nouvelle entreprise, voici ce que vous devez savoir sur la protection des données à l’ère du RGPD:

1. À qui s’applique le règlement

Tout en haut de la liste est de savoir à qui s’appliquent les règlements. À partir du RGPD, les réglementations s’appliquent à toute entreprise qui collecte et stocke des données d’utilisateurs à l’intérieur de l’UE ou de l’EEE. Cela inclut les entreprises qui n’ont pas de localisation physique dans l’UE. Qu’une start-up recueille des informations sur les clients à des fins d’expédition ou soit une entreprise B2B qui ne traite qu’avec d’autres entreprises, toutes les informations collectées doivent être protégées.

La manière dont les réglementations sont appliquées aux entreprises étrangères reste un sujet de débat, mais des mécanismes d’application existent dans les réglementations. À toutes fins utiles, cela ne vaut plus la peine de prendre le risque. Les entreprises peuvent tout aussi bien pratiquer une bonne sécurité des données même si le RGPD ne s’applique pas à elles.

Notez également que le RGPD a jeté les bases d’une législation similaire adoptée ailleurs. L’État américain de Californie a depuis adopté sa propre législation sur la protection des données. Il en va de même pour un certain nombre de pays dans le monde.

2. Les types de données couverts

Les types réels de données couverts par le RGPD et les réglementations similaires sont peut-être plus préoccupants pour les start-ups. Malheureusement, le terme «données personnelles» est assez large. Certains sont même considérés comme ambigus. La meilleure façon de la décrire est de la considérer comme toute donnée pouvant être utilisée pour identifier une personne. Cela signifie automatiquement les noms, adresses, numéros de téléphone, etc. – pour commencer.

Comprenez que les données personnelles vont au-delà des informations de contact. Cela comprend tout, de l’appartenance ethnique à l’appartenance religieuse et au sexe. Tout type d’information qui pourrait aider à identifier un aspect quelconque de l’identité d’une personne doit être protégé. Cela suggère qu’il est dans l’intérêt de l’entreprise de ne pas tenter de créer des différences entre les types de données. Il est de loin préférable de simplement s’engager à protéger toutes les données plutôt que d’essayer de se concentrer sur certains types de données à l’exclusion d’autres. Protégez-le tout simplement.

3. Pourquoi la conformité est si importante

Les start-up qui tentent de s’en sortir sans garantir la conformité prennent un risque important. La raison est simple: un non-respect pourrait signifier que votre entreprise doit faire face à des fonds assez importants. Bien qu’il soit difficile d’imaginer que l’UE irait aussi haut, une entreprise pourrait être condamnée à une amende maximale de 20 millions de dollars. Les amendes peuvent atteindre jusqu’à 4% du chiffre d’affaires annuel d’une entreprise.

Les atteintes à la réputation d’une entreprise doivent également être prises en compte. Soyez assuré que les cas les plus médiatisés ne disparaissent pas tranquillement dans l’obscurité. Si votre entreprise est découverte non conforme et condamnée à une amende importante, vous pouvez vous attendre à ce que les médias la diffusent partout. Votre entreprise pourrait perdre toute la confiance qu’elle a travaillé si dur à bâtir en peu de temps.

Les entreprises spécialisées dans les services d’audit GDPR font désormais leur apparition partout. Ils sont particulièrement répandus dans l’UE. Cependant, ils peuvent être trouvés dans le monde entier étant donné que de nombreuses entreprises font des affaires dans l’UE sans y être réellement implantées. Il est presque acquis que la protection des données est désormais obligatoire.

4. Comment maintenir la conformité

Ensuite, il est impératif de comprendre comment maintenir la conformité. C’est là que les audits GDPR entrent en jeu. Un cabinet de conseil qualifié qui connaît parfaitement les lois sur la protection des données peut exécuter un audit complet sur les systèmes informatiques et réseau d’un client pour trouver les domaines de conformité et de non-conformité. Avec la conformité, les rapports sont des suggestions expliquant comment une entreprise pourrait faire mieux.

L’avantage d’un audit est qu’il offre une perspective tierce. Une telle perspective peut révéler des choses que la direction de l’entreprise ne peut pas voir simplement parce qu’elle est trop proche de la situation. Les audits servent également à clarifier certains des aspects les plus ambigus de la législation sur la protection des données.

En règle générale, le maintien de la conformité implique les éléments suivants:

  • Demander la permission – Les entreprises doivent toujours demander la permission de collecter, stocker et utiliser les données des clients. L’idée est de forcer les clients à s’inscrire plutôt que de s’attendre à ce qu’ils se désengagent.
  • Créer un protocole de sécurité – Le service informatique doit développer un protocole de sécurité solide garantissant la sécurité des données avant toute collecte d’informations.
  • Créer un plan de réponse – Les entreprises doivent mettre en place un plan de réponse en cas de faille de sécurité. Ne pas planifier pourrait signifier flotter dans l’espoir de corriger une situation qui pourrait rapidement devenir incontrôlable.
  • Éducation des employés – Tous les employés doivent être formés à la protection des données, même s’ils ne sont pas directement impliqués dans la collecte et le stockage des données.
  • Faire les embauches nécessaires – Il est important d’embaucher une personne capable de gérer les problèmes de conformité. Il s’agit généralement d’un délégué à la protection des données. En outre, une entreprise devrait engager des consultants pour effectuer des audits réguliers.

C’est souvent une bonne idée pour les start-up de commencer à collaborer avec un consultant à partir de zéro. Un bon consultant peut aider une start-up à développer ses politiques de sécurité, à mettre en œuvre ses solutions logicielles, à former ses employés, etc. Ce même consultant peut être utilisé pour exécuter les audits réguliers.

Il devrait être évident que la protection des données est un véritable problème de nos jours. Même si l’UE n’avait pas adopté le RGPD, cela n’aurait été qu’une question de temps avant qu’une autre juridiction ne le fasse. Le monde en ligne d’aujourd’hui nécessite toujours plus de diligence pour garantir que les données personnelles sensibles restent verrouillées. Dire que les entrepreneurs et les dirigeants d’entreprise doivent faire preuve de diligence, c’est énoncer une évidence.

advertissement

Vous pourriez aussi aimer