Toute entreprise consciente de l’importance de ses données informatiques réalisera une sauvegarde externe ou préparera un plan de sauvegarde informatique, à savoir conserver une copie de sécurité des informations essentielles à son bon fonctionnement dans le cas d’un éventuel sinistre informatique.
En effet, le Règlement Général pour la Protection des Données (RGPD) impose au dirigeant d’entreprise une obligation de moyens quant à la protection des données stockées par son entreprise.
Si la perte partielle ou totale de données consécutive à une attaque informatique ou un sinistre affecte la survie d’une entreprise, le dirigeant de cette PME pourra être mis en cause s’il n’a pas mis en place des solutions efficaces de sauvegardes données.
La CNIL détaille très concrètement le plan de sauvegarde, incrémental, local et externalisé, qu’il faut considérer comme une norme indispensable à appliquer dans toutes les entreprises françaises.
En outre, il est obligatoire – sous 72 heures – en cas de piratage informatique, de déclarer la violation de données informatiques sur le site de la CNIL.
Enfin, il faut impérativement que ces sauvegardes de données soient en accord avec d’autres règles RGPD (Règlement Général européen sur la Protection des données), en particulier si vos sauvegardes concernent des données personnelles collectées auprès de vos clients ou des utilisateurs de votre site web.
On fait le point.
Le Règlement général sur la protection des données (RGPD) et le droit à l’oubli
Entré en vigueur en 2018 à l’échelle européenne, le règlement général sur la protection des données est un texte de référence en matière de protection des données à caractère personnel. Il s’agit d’un ensemble de règles qui encadrent la collecte et la sauvegarde des données par les entreprises.
L’objectif de ce règlement est de protéger les données personnelles du citoyen européen et impose des obligations détaillées aux entreprises et organisations en ce qui concerne la collecte de données personnelles des citoyens européens, quel que soit le pays où est implantée l’entreprise.
Le RGDP avait été largement salué à son apparition, car il donne la possibilité aux personnes ayant renseigné des données personnelles, que ce soit par écrit ou sur internet, à y avoir accès, à les modifier, ou les supprimer. Il s’agit du fameux « droit à l’oubli », une avancée dans le domaine de la protection de la vie privée des particuliers.
Aujourd’hui, toutes les entreprises réalisent des sauvegardes régulières de leurs données, et il est indispensable de bien connaitre ce règlement pour remplir ses obligations légales RGPD.
Les obligations RGPD en matière de données personnelles
Une série d’obligations sont à remplir par les sociétés qui collectent les données de leurs clients dans le cadre du Règlement général sur la protection des données. Celles-ci concernent le droit à l’accès, à la rectification, à l’effacement, à la portabilité et à la confidentialité des données.
Ainsi, un particulier peut demander à n’importe quelle entreprise d’accéder aux données qui ont été collectées à son sujet et pourra demander à ce qu’elles soient modifiées.
De la même manière, le particulier jouit d’un droit à l’effacement des données le concernant, l’entreprise devra alors être en mesure d’effacer. Toutes les données le concernant aussi bien au sein des données informatiques qu’elle utilise quotidiennement que dans ses sauvegardes de données.
Par ailleurs, toute entreprise collectant les données de ses clients devra assurer leur confidentialité, c’est-à-dire que ses informations devront être protégées, cryptées et ne pourront être partagées avec une autre entreprise.
Finalement, toute collecte des données personnelles d’un particulier devra répondre à un objectif précis de la part de l’entreprise – comme la fidélisation d’un client – et les données collectées ne pourront être monnayées.
Ces obligations en matière de données personnelles doivent être scrupuleusement respectées et toute entreprise ne les respectant pas pourra s’exposer à une amende équivalente à 2 % de son chiffre d’affaires annuel.
Conséquences des obligations RGPD sur les sauvegardes de données
La conséquence de l’entrée en vigueur de ce règlement sur les sauvegardes des données informatiques que réalisent les entreprises est plutôt facile à appréhender : celles-ci doivent mettre en place une gestion particulièrement rigoureuse de leur base de données pour respecter les obligations énoncées par le RGPD.
Ces obligations exigent une organisation des données stricte pour toute entreprise qui collecte des données personnelles : la société doit justifier l’utilité des données enregistrées et protéger celles-ci d’un éventuel piratage, mais également donner accès à ces informations à un particulier, et les supprimer à sa demande.
Ainsi, le RGPD implique la mise en œuvre de nouvelles techniques de gestion et de sauvegarde des données informatiques.
Heureusement, de nombreuses solutions permettent de gérer ses sauvegardes de données tout en respectant ce règlement.
Le plus simple à faire reste de déléguer la gestion des données à une société d’infogérance comme Apo’g qui pourra se charger du suivi des données personnelles collectées sur un cloud ou sur le serveur de votre entreprise.
