in

RGPD : Cinq conséquences sur le secteur de l’impression | Une expertise de Sean Gallagher, Xerox pour DOCaufutur

Le Règlement Général européen sur la Protection des Données (RGPD) entrera en vigueur au mois de mai 2018. Les entreprises traitant des données à caractère personnel concernant des personnes physiques de l’Union européenne ont jusqu’à cette date pour s’y conformer. Dans le cas contraire, elles pourront faire l’objet d’amendes pouvant atteindre 20 millions d’euros, ou représentant jusqu’à 4 % de leur chiffre d’affaires annuel global.

Ce règlement s’applique à toute entreprise qui recueille, traite, stocke ou utilise des données à caractère personnel concernant des personnes physiques de l’Union européenne. Il comprend aussi les organismes du secteur public, ainsi que les acteurs du secteur de la santé et du marketing et les entreprises avec lesquelles ils travaillent.

Il s’adresse également aux entreprises spécialisées dans l’impression de documents transactionnels et de publipostage, ou encore dans l’impression et la communication visuelle, dont l’activité comprend le traitement de données à caractère personnel de personnes physiques de l’Union européenne. Malgré l’impact inévitable de ce règlement sur ces entreprises, une récente enquête de l’IDC révèle que 51 % des décideurs en matière d’impression et d’imagerie considèrent que le RGPD ne concerne pas l’industrie de l’impression.

Sean Gallagher, Xerox

Quelles sont donc les conséquences du nouveau règlement sur le secteur de l’impression ? Elles sont nombreuses, mais voyons dans un premier temps les cinq points fondamentaux : 

  1. Compréhension et mise en application

Pour les entreprises opérant dans le secteur de l’impression, la première étape consiste à déterminer si elles sont classées en tant que responsables du traitement des données ou sous-traitant. Dans les deux cas, elles seront tenues au respect de certaines obligations au titre du nouveau règlement. Un responsable du traitement doit notamment déterminer l’objet et les modalités de traitement des données à caractère personnel (une banque, par exemple), tandis qu’un sous-traitant se charge du traitement des données à caractère personnel pour le compte du responsable du traitement (par exemple, une société d’impression peut être sous-traitant des données dès lors qu’elle imprime des relevés bancaires pour le compte de la banque).

Qu’elles soient responsables du traitement ou  sous-traitant, les entreprises sont susceptibles de devoir désigner un délégué à la protection des données ou, si elles n’y sont pas strictement tenues, nombre d’entre elles pourront néanmoins décider d’en désigner un. En collaboration avec les autres services, le délégué à la protection des données aura entre autres pour mission de veiller au respect du RGPD, de conseiller et d’informer l’entreprise et ses salariés sur leurs obligations, et tiendra un rôle de référent pour les autorités de surveillance et les personnes physiques dont les données sont traitées.

  1. Registres relatifs aux activités de traitement

Au titre du nouveau règlement, les responsables du traitement tout comme les sous-traitants sont tenues de conserver des registres de leurs activités de traitement des données et de mettre lesdits registres à la disposition des autorités de surveillance lorsqu’elles en font la demande.

Comment les sous-traitants doivent-ils conserver une trace de leur flux ? Une solution pourrait consister à réaliser des exercices de cartographie des données offrant une vue exhaustive des données recueillies, traitées et conservées, et retraçant le flux à travers les différentes unités commerciales et les différents sous-traitants ou tiers. Ces exercices de cartographie nécessiteraient par ailleurs d’être renouvelés à chaque modification du mode de recueil de data, ou à chaque modification des systèmes, processus ou procédures survenant au cours du cycle de vie des données.

  1. Droits des personnes physiques

Une surveillance et un suivi étroits des données à caractère personnel sont essentiels au respect des droits renforcés des personnes physiques prévus par le RGPD, notamment le droit d’information, le droit de portabilité des données et le droit de suppression (également connu sous le terme de « droit à l’oubli »).

Si une personne physique souhaite que ses données à caractère personnel soient supprimées ou, s’il y a lieu, que leur traitement soit interrompu, les sociétés d’impression, en tant que sous-traitant, pourront être tenues d’assister les responsables du traitement des données dans la gestion des demandes d’accès. Cela obligerait ainsi les sous-traitants à localiser les data à caractère personnel concernées afin de les supprimer ou de les détruire à la demande de la personne physique ou du responsable du traitement des données.

  1. Sécurité et protection de la vie privée

Le délai de signalement des violations de données à caractère personnel prévu par le nouvel RGPD, lequel accorde 72 heures aux responsables du traitement des données pour signaler toute violation aux autorités de surveillance, a suscité un vif intérêt. Par ailleurs, le RGPD exige des sous-traitants des données qu’elles informent les responsables du traitement sans délai après avoir eu connaissance de toute violation de données à caractère personnel.

Afin de se conformer à la règlementation et assurer la sécurité des données de leurs clients, l’industrie de l’impression devrait maintenir un standard de sécurité plus élevé que jamais. Les sociétés d’impression doivent mettre en place des mesures organisationnelles et techniques appropriées afin de garantir un niveau de sécurité adapté au risque.

Avec l’arrivée de l’Internet des Objets (IdO) et compte tenu du nombre croissant de dispositifs sans fil disposant d’un accès aux réseaux, nous assistons à l’apparition de nouvelles menaces de cybersécurité touchant les technologies d’impression. Les imprimantes modernes et les dispositifs intelligents nécessitent une approche de la sécurité à plusieurs niveaux, couvrant la prévention des intrusions, la détection de dispositifs, la détection de documents et de données et les partenariats externes avec des spécialistes de la sécurité. La sécurisation des données à caractère personnel, via un système de cryptage par exemple (s’il y a lieu), est impérative. Et, lorsque les données n’ont plus aucune utilité, elles doivent être supprimées de façon appropriée.

Par ailleurs, les produits présentant des fonctionnalités telles que le contrôle des accès (garantissant un accès limité aux appareils d’impression par les utilisateurs autorisés uniquement) et l’impression sécurisée (autorisant l’impression de documents uniquement après la saisie de son code PIN personnel par l’utilisateur) permettent de répondre aux préoccupations en matière de sécurité.

Le contrôle de la sécurité devenant un aspect de plus en plus onéreux, il est probable d’assister à une généralisation des accords de niveau de service (SLA) relatifs à la sécurité dans les contrats, notamment en termes d’engagement de cryptage des données et d’authentification à deux facteurs. 

  1. Consolidation des réseaux

Nombre de projets d’impression de documents transactionnels font appel à de multiples partenaires dans le cadre de campagnes de publipostage complexes (un agent pour les encarts, un pour les courriers…), réduisant ainsi le contrôle sur le contenu et augmentant le risque d’exposition.

Les exigences du RGPD pourraient engendrer un accroissement de l’activité pour les principaux OEM, les clients cherchant la sécurité d’une plateforme unique capable de gérer des sous-traitants sur toutes les zones géographiques et d’offrir des infrastructures, un niveau de sécurité et un système de signalement automatisé dans le cadre d’un environnement contrôlé.

À moins de 6 mois de l’entrée en vigueur du RGPD, il est l’heure pour les entreprises de se préparer aux changements considérables que ce règlement impliquera pour le secteur de l’impression. Il est temps pour les sociétés d’impression, notamment, de prendre la mesure de leur activité de traitement des données, d’obtenir des conseils auprès d’experts et de développer une approche systématique.

Clause de non-responsabilité :

Le contenu du présent article est fourni à titre indicatif uniquement et ne saurait se substituer à tous conseils ou avis juridiques spécifiques. Xerox dégage toute responsabilité à l’égard de toutes actions ou omissions résultant du contenu du présent article.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.