Le règlement général sur la protection des données personnelles entre en vigueur le 25 mai 2018 : difficile de passer à côté !
Il ne traite pas seulement de la manière dont les données personnelles (noms, adresse, date de naissance, informations de santé, etc.) sont traitées. L’accent est également mis sur la protection physique des zones critiques de l’entreprise, telles que les salles de serveurs, les unités d’alimentation, etc. Mais quid du bureau et des archives des ressources humaines, où les données du personnel sont gérées et stockées ?
Bon nombre des exigences du GDPR traitent de la question de la traçabilité des accès à l’entreprise. Qui entre et sort de l’entreprise, comment et à quel moment ? Existe-t-il un risque qu’une porte ouverte se traduise par une potentielle violation de la protection des données, par exemple ?
Plus largement, la question des accès physiques à l’entreprise et des données qui y sont stockées, de manière numérique comme sur support papier, fait écho à celle de la responsabilité de l’entreprise prévue au règlement. Qui prévoit notamment que « les entreprises devront être en mesure de démontrer leur conformité avec la réglementation en cas de contrôle de la CNIL ». Une mesure qui se traduit ainsi par l’obligation de tenue d’un registre des traitements. Lequel permettra de constituer une base de données des traitements, mais pourra aussi servir à centraliser et à suivre toutes les démarches de conformité mises en œuvre par l’entreprise.
Or, comment constituer ce registre avec de simples serrures mécaniques ? Quelles solutions les entreprises peuvent-elles envisager pour les accès physiques à l’entreprise ? Quelles normes respecter pour entrer en conformité avec le RGPD ?