1480 Avenue d'Arménie 13120 Gardanne
+33 (0)4 42 65 95 57

RGPD et IoT: les principes clés et les étapes à suivre pour être conforme à la législation

Depuis quelques années, diverses réglementations sont mises en place pour la protection des données. Mais aujourd’hui, avec l’évolution de l’informatique, des télécommunications et des objets connectés, elles ne sont plus adaptées. C’est pourquoi depuis mai 2018, un nouveau règlement européen de protection des données (RGPD) est entré en vigueur dans tous les pays de l’Union Européenne. Il concerne toutes les entreprises et start up qui traitent ou hébergent des données à caractère personnel.

RGPD : Règlement européen de protection des données

« Une donnée personnelle représente toute information relative à un particulier identifié ou identifiable, directement ou indirectement, grâce à un identifiant ou à un ou plusieurs éléments de son identité. »
Cette nouvelle législation vise à renforcer les droits des personnes et la sécurité de leurs données. Mais également à responsabiliser les entreprises qui collectent des données. Ces entreprises sont donc responsables de la protection, du traitement des données et de la notification aux clients en cas d’éventuel incident (perte, piratage…). Mais elles n’ont plus l’obligation de déclarer à la CNIL leurs fichiers de base de données.

Source : Règlement général sur la protection des données du 27 avril 2016. 

Les 3 principes clés utilisés par NomoSense

Chez NomoSense, nous ne manipulons aucune donnée personnelle, seulement des données publiques (appartenant à une collectivité) et des données privées (appartenant à des clients privés). Dans ce sens, nous sommes indirectement concernés par cette législation. Ainsi, en tant qu’opérateur de service de l’IoT nous pensons  à l’impact que peut avoir le traitement des données sur la vie privée de nos clients. Nous faisons en sorte de prévoir certains droits tels que le droit à l’information, à l’accès, à la rectification, à l’effacement ou encore le droit à la portabilité des données. Nos responsabilités sont renforcées à travers 3 principes :

  • « Privacy By Design » : ce concept a pour objectif de garantir une protection des données dès la conception du service. Nous offrons à nos clients le plus haut niveau de sécurité et de protection de leurs données dès la conception.
  • « Privacy By Default » : ce principe reprend les droits de nos clients évoqués plus haut qui sont les droits de modification, de suppression et d’information lors d’incident.
  • « Accountability » : ce principe conduit à prouver aux autorités (CNIL) que l’entreprise assure une transparence et une traçabilité sur le traitement des données à caractère personnel.
Privacy by design, Privacy by default, accountability

La protection des données à caractère personnel est un enjeu primordial pour la pérennité d’une entreprise. Toutes entreprises ne respectant pas ces trois principes peuvent être sanctionnées par la CNIL. Ainsi, les amendes peuvent représenter un coût allant de 2 à 4% du chiffre d’affaires mondial d’une entreprise

Les avantages du RGPD pour les entreprises

Certains pensent que le RGPD soulève de nombreuses contraintes pour les entreprises. En effet, elles doivent revoir une bonne partie de leur fonctionnement et ont un risque pour leur continuité à cause des sanctions élevées. Malgré ces contraintes, nous pouvons voir qu’il est possible de tirer des avantages de cette législation.

Tout d’abord, les entreprises vont revoir une partie de leur organisation en faisant un tri entre les données importantes et inutiles. Cela permet donc de revoir la base de données et d’éliminer les informations obsolètes. Puis, dans un aspect collectif, l’entreprise va distinguer tous les acteurs concernés par le traitement des données (employés, départements, parties prenantes…). Ceci permet de renforcer l’organisation au sein même de l’entreprise et de mieux connaître le fonctionnement de chaque collaborateur. De plus, en ayant une meilleure connaissance des collaborateurs, l’entreprise garantit à ses clients un service de qualité permettant de gagner leur confiance. Ce règlement permet donc à tout le personnel d’une entreprise de se recentrer sur les besoins des clients et la protection des données, aspect essentiel pour la pérennité d’une entreprise.

NomoSense en conformité avec le RDGP dans son traitement en interne

Nous collectons et stockons des données en permanence mais nous ne sommes pas directement concernés par le RGPD. En effet, nous ne traitons pas de données à caractère personnel et notre plateforme est utilisée pour une simple restitution. Nous collectons des données de télérelève, de géolocalisation, de comptage etc. En revanche, pour garantir la maîtrise des données de nos clients, nous avons appliqué des règles en lien avec le RGPD. Nous avons suivi 3 étapes :

NomoSense est conforme avec la législation du RGDP
  • Etape 1 : Élaboration d’un registre de traitement de données. Nous avons recensé les traitements non occasionnels et créer des fiches pour chaque activité de traitement.
  • Etape 2 : Conservation des données. Nous conservons seulement les données nécessaires à notre activité.
  • Etape 3 : Sécurisation des données. Nous avons renforcé la protection de toutes les données collectées sur nos logiciels informatiques afin de minimiser les risques.