TPE/PME : conformité RGPD et cybersécurité
TPE/PME : en quoi votre conformité RGPD contribue-t-elle à la cybersécurité de votre organisation ?
La conformité au RGPD et la cybersécurité sont étroitement liées et il n’est plus question de passer à côté de ces sujets.
Il est possible de traiter de la cybersécurité sans conformité, mais la conformité RGPD est impossible sans cybersécurité. Cette dernière est un pilier fondamental du RGPD même si le règlement n’y consacre que peu d’articles.
Votre conformité RGPD
Le sujet de la conformité au RGPD n’est pas toujours évident à appréhender et, il faut bien le dire, ne figure peut-être pas dans vos dossiers à traiter en priorité.
Pourtant, votre organisation est très certainement concernée et il serait dommage de passer à côté et de se mettre en risque .
Comme indiqué par la CNIL, pour les TPE dont le cœur de métier n’est pas le traitement de données personnelles, les obligations sont bien moindres que pour une organisation de plus grande taille. Que vous soyez indépendant, profession libérale, TPE ou PME, il vous faudra aborder un certains nombre de sujets :
- Désigner un pilote (référent RGPD, DPO)
- Inventorier vos process mettant en jeu des données personnelles
- Établir le registre des activités de traitement en votre qualité de responsable de traitement et/ou de sous-traitant (au sens RGPD)
- Respecter les droits des personnes
- Identifier et encadrer les relations avec vos sous-traitants
- Identifier et encadrer les éventuels transferts hors UE (fréquents dans les usages d’outils dans le Cloud)
- Assurer la sécurité
- …
Autant de points à traiter et qui peuvent vous sembler une épreuve… à reporter 🙁
Que devez-vous faire ? Par où commencer ?
Je vous invite à consulter notre article RGPD pour les petites entreprises qui vous apportera quelques réponses.
Vous pouvez aussi vous aider des ressources présentes sur le site de la CNIL :
Une bonne base pour qui veut prendre sa conformité RGPD au sérieux.
Votre cybersécurité
La cybersécurité ne se limite pas aux données personnelles même si, à y regarder de plus près, elles sont omniprésentes.
Aussi, je vous conseille d’élargir le sujet aux autres informations détenues par votre organisation et nécessaires à son fonctionnement, par exemple :
- Processus, procédures
- Informations fiscales
- Brevets, savoir faire,
- …
Je vous suggère de lister les informations qui, manquantes, seraient dommageable pour la survie de votre activité.
Il ne s’agit pas de faire peur, ni d’être profondément paranoïaque, mais d’être conscient des risques et des enjeux.
Ici aussi, la liste des sujets à aborder peu en effrayer plus d’un.
Pour ma part, je suis pour la politique des petits pas. Il faut bien débuter et un projet trop ambitieux est souvent un projet abandonné.
Alors, faites le tour du sujet et priorisez selon la sensibilité de vos informations et vos capacités.
Malheureusement, ne rien faire est la pire des choses, compte-tenu de l’actualité.
Quelques sujets à traiter :
- Se sensibiliser et sensibiliser vos collaborateurs et/ou partenaires
- Bien choisir et gérer ses mots de passe
- Mettre à jour ses logiciels
- Être prudent avec sa messagerie
- Séparer les usages personnels et professionnels
Et surtout
- Faire des sauvegardes
En effet, les sauvegardes sont souvent le dernier rempart pour une reprise d’activité.
Il est indispensable de s’assurer de leur bon déroulement et de la capacité à restaurer.
Ce ne sont que quelques règles d’hygiène numérique qui devraient devenir comme une seconde nature et qui ne nécessitent pas un effort insurmontable.
Cette bonne hygiène permettrait déjà d’éviter quelques déboires. Mais attention, la technique et les outils ne font pas tout et votre vigilance est indispensable.
Là aussi, il existe un bon nombre de ressources aisément accessibles, notamment sur le site de la CNIL et de l’ANSSI. Justement, la CNIL propose une sécurité progressive en 3 niveaux qui s’appuie sur ces différentes ressources. Ne vous en privez pas.
Et maintenant ?
J’espère vous avoir convaincu de la nécessité de prendre en compte la conformité RGPD et la cybersécurité au sein de votre organisation et de vos, certainement nombreux, projets numériques.
Le numérique est au cœur de notre quotidien personnel et professionnel et ne pas tenir compte de ses aspects me semble quelque peu risqué.
J’en conviens, ces sujets ne sont pas sexy, au premier abord. On y préférera des sujets avec un retour sur investissement visible, ce fameux ROI.
Concernant votre conformité RGPD et votre cybersécurité, il est nécessaire de se poser la question : qu’ai-je à perdre si je ne fais rien ?
- Mise à jour du
Nos dernières actualités
- Quels sont les droits des salariés en matière de données personnelles ? 8 mai 2024
- Comment le RGPD protège-t-il les données des salariés ? 19 janvier 2024
- Recommandations de l’ANSSI sur la protection en confidentialité des données 18 janvier 2024
- Recommandations de l’ANSSI pour la protection des postes de travail des Professions Libérales et TPE/PME 17 décembre 2023
- RGPD : Comment déterminer les durées de conservation des données personnelles ? 24 novembre 2023