Règlement européen sur la protection des données : 5 implications pour le secteur de l'impression

Le Règlement européen relatif à la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Si votre entreprise traite des données personnelles de ressortissants européens, vous devez vous conformer au règlement ou vous exposer à des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel.

Quelles sont les implications du nouveau règlement pour le secteur de l'impression ? Voici les cinq points importants à retenir :

1. Distinguer le « responsable du traitement » du « sous-traitant »
La première étape pour une entreprise du secteur de l'impression consiste à déterminer si elle se range dans la catégorie Responsable du traitement ou Sous-traitant. Des obligations incombent aux deux au titre du nouveau règlement. Le « responsable du traitement » détermine la fin et les moyens inhérents au traitement des données à caractère personnel (par ex. une banque), tandis que le « sous-traitant » traite lesdites données au nom du responsable (par ex. une imprimerie).

Les entreprises, indifféremment de leur classification, pourront être amenées à devoir nommer un délégué à la protection des données. Travaillant en collaboration avec d'autres services, le travail du délégué à la protection des données consiste à conseiller et à informer l'entreprise ainsi que ses employés sur les obligations qui leur incombent, et à agir en tant que point de contact pour les autorités de contrôle et les personnes dont les données font l'objet du traitement.

2. Registres pour les activités de traitement
Au titre du nouveau règlement, le responsable du traitement et le sous-traitant sont tenus de tenir des registres pour les activités de traitement relevant de leur responsabilité et de mettre ces registres à la disposition de l'autorité de contrôle.

Comment les sous-traitants doivent-il suivre le flux de données ? Ils peuvent, par exemple, procéder à des exercices de cartographie des données capables de fournir un aperçu des données recueillies, traitées et détenues, et de suivre le flux de données entre les différentes unités commerciales, sous-traitants ou tiers. Ces exercices de cartographie pourront être répétés au fur et à mesure des changements survenant dans les modes de collecte des données, ou selon que les systèmes, processus ou procédures viennent à être modifiés au cours du cycle de vie des données.

3. Droit des personnes
Un contrôle et un suivi étroits des données à caractère personnel sont essentiels en vertu des droits renforcés des personnes au titre du règlement, lesquels incluent le droit d'être informé, le droit à la portabilité des données et le droit à l'effacement des données (également appelé « droit à l'oubli »).

Imaginons qu'une personne souhaite procéder à l'effacement de ses données personnelles, ou, le cas échéant, voir cesser le traitement de ses données. Les sociétés du secteur de l’impression, en leur qualité de sous-traitants, peuvent être invitées à assister les responsables du traitement dans les demandes d'accès. Cela impliquerait pour les sous-traitants de localiser les données personnelles à effacer à la demande du responsable du traitement ou d'une personne.

4. Sécurité et vie privée dès la conception
Au titre du nouveau règlement, le délai de notification à l'autorité de contrôle d'une violation de données à caractère personnel est de 72 heures. Le règlement exige des sous-traitants qu'ils signalent toute violation de données à caractère personnel aux responsables du traitement, et ce dans les meilleurs délais.

Pour éviter de se voir imposer des amendes et ternir sa réputation pour violation de données à caractère personnel, le secteur de l'impression se doit plus que jamais de renforcer les niveaux de sécurité. Les sociétés du secteur de l’impression doivent prendre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.

Avec l'avènement de l'Internet des objets et l'utilisation accrue des appareils sans fils ayant accès aux réseaux, de nouvelles cyber-menaces ont émergé et ont un impact sur la technologie utilisée par les professionnels de l'impression. Les imprimantes modernes et les appareils intelligents invitent à une approche multi-niveaux de la sécurité qui englobe la prévention d'intrusion, la détection des appareils, la détection des documents et données et la formation de partenariats externes avec des spécialistes de la sécurité. La protection des données à caractère personnel, comme le cryptage, est impérative. Lorsque les données ne sont plus utiles, il convient de les effacer.

Par ailleurs, les fonctionnalités produits telles que le contrôle d'accès (seuls les utilisateurs autorisés ont accès aux périphériques d'impression) et l'impression sécurisée (les documents ne sont imprimés que lorsque l'utilisateur saisit son numéro de PIN) apportent une réponse aux préoccupations liées à la sécurité.

Avec la hausse des coûts de contrôles de sécurité, il est fort probable que les accords de niveau de service de sécurité – y compris le cryptage des données et l'authentification à deux facteurs – figurent désormais dans les contrats.

5. Consolidation des réseaux
Nombre de projets d'impression transactionnelle font appel à plusieurs partenaires pour la gestion des campagnes de publipostage complexes (recours à différents partenaires pour les encarts, pour les lettres, pour l'assemblage, etc.), réduisant d'autant le contrôle sur le contenu et augmentant le risque d'exposition.

Le règlement européen sur la protection des données pourrait engendrer une hausse de l'activité pour les fournisseurs OEM plus importants. Les clients pourront souhaiter privilégier la sécurité offerte par un interlocuteur unique offrant ces différents services sur une zone géographique, capable de fournir l'infrastructure, la sécurité et la notification automatisée au sein d'un environnement contrôlé.

Avec l'entrée en vigueur du Règlement européen sur la protection des données, l'heure est venue de se préparer aux inévitables changements pour le secteur de l'impression. Les professionnels de l'impression – entre autres – doivent évaluer leur activité de traitement des données, se faire conseiller par des experts et appliquer une approche systématique.

Nous contacter

Nous contacter en ligne ›

 

Clause d'exonération de responsabilité

Le contenu de cet article est fourni exclusivement à titre d'information et ne saurait se substituer à des conseils juridiques spécifiques. Xerox décline toute responsabilité pour les actions (ou inactions) prises suite à la lecture du présent article.

En tant que fournisseur global de services et citoyen du monde, Xerox dispose d’une équipe cross fonctionnelle dédiée, disposant d’une disponibilité opérationnelle et en charge des principes fondamentaux de protection de la vie privée. Xerox s'applique à se conformer aux obligations inhérentes au règlement européen sur la protection des données.