Aller au contenu
Accueil » News » RGPD et IoT : les principes clés et les étapes à suivre pour être conforme à la législation    

RGPD et IoT : les principes clés et les étapes à suivre pour être conforme à la législation    

Depuis quelques années, diverses règlementations sont mises en place pour protéger les données mais aujourd’hui, avec l’évolution de l’informatique, des télécommunications et des objets connectés, elles ne sont plus adaptées. C’est pourquoi depuis mai 2018, un nouveau règlement européen de protection des données (RGPD) est entré en vigueur dans tous les pays de l’Union Européenne. Il concerne toutes les entreprises et start up qui traitent ou hébergent des données à caractère personnel.

« Une donnée personnelle représente toute information relative à un particulier identifié ou identifiable, directement ou indirectement, grâce à un identifiant ou à un ou plusieurs éléments de son identité. » Source : Règlement général sur la protection des données du 27 avril 2016. Cette nouvelle législation vise à renforcer les droits des personnes et la sécurité de leurs données mais également

à responsabiliser les entreprises qui collectent des données. Ces entreprises sont donc responsables de la protection, du traitement des données et de la notification aux clients en cas d’éventuel incident (perte, piratage…) mais n’ont plus l’obligation de déclarer à la CNIL leurs fichiers de base de données. 

Les 3 principes clés utilisés par NomoSense

Chez NomoSense, nous ne manipulons aucune donnée personnelle, cependant nous manipulons de la données publique (appartenant à une collectivité) ainsi que des données privées (appartenant à des clients privés). Dans ce sens, nous sommes indirectement concernés par cette législation Ainsi, en tant qu’opérateur de service de l’IoT nous pensons à l’impact que peut avoir le traitement des données sur la vie privée de nos clients. Nous faisons en sorte de prévoir certains droits qui sont le droit à l’information, à l’accès, à la rectification, à l’effacement ou encore le droit à la portabilité des données. Nos responsabilités sont renforcées à travers 3 principes :

  • « Privacy By Design » : ce concept a pour objectif de garantir une protection des données dès la conception du produit ou service. Nous offrons à nos clients le plus haut niveau de sécurité et de protection de leurs données dès la conception.
  • « Privacy By Default » : ce principe reprend les droits de nos clients évoqués plus haut qui sont les droits de modification, de suppression et d’information lors d’incident.
  • « Accountability » : ce principe conduit à prouver aux autorités (CNIL) que l’entreprise assure une transparence et une traçabilité sur le traitement des données à caractère personnel.

La protection des données à caractère personnel est un enjeu primordial pour la pérennité d’une entreprise car toutes entreprises ne respectant pas ces trois principes peuvent être sanctionnées par la CNIL. Ainsi, les amendes peuvent représenter un coût allant de 2 à 4% du chiffre d’affaires mondial d’une entreprise.

Les avantages du RGPD pour les entreprises

Certains pensent que le RGPD soulève de nombreuses contraintes pour les entreprises car elles doivent revoir une bonne partie de leur fonctionnement et ont un risque pour leur continuité à cause des sanctions élevées. Malgré ces contraintes, nous pouvons voir qu’il est possible de tirer des avantages de cette législation.

Tout d’abord, les entreprises vont revoir une partie de leur organisation en faisant un tri entre les données importantes et celles qui sont inutiles. Cela permet donc de revoir la base de données et d’éliminer les informations obsolètes. Puis, dans un aspect collectif, l’entreprise va distinguer tous les acteurs concernés par le traitement des données (employés, départements, parties prenantes…). Ceci permet de renforcer l’organisation au sein même de l’entreprise et de mieux connaître le fonctionnement de chaque collaborateur. De plus, en ayant une meilleure connaissance des collaborateurs, l’entreprise peut garantir à ses clients un service de qualité permettant ainsi de gagner leur confiance. Ce règlement permet donc à tout le personnel d’une entreprise de se recentrer sur les besoins des clients et la protection des données, aspect essentiel pour la pérennité d’une entreprise.

NomoSense en conformité avec le RDGP dans son traitement des données interne

En tant qu’opérateur de service dans l’IoT, nous collectons et stockons des données en permanence. Par cette activité, nous ne sommes pas directement concernés par le RGPD puisque nous ne traitons pas de données à caractère personnel et que notre plateforme est utilisée pour une simple restitution. Nous collectons des données de télérelève, de géolocalisation, de comptage etc. En revanche, pour garantir une maitrise de l’information appartenant à nos clients, nous avons appliqué des règles en liens avec la législation du RGPD. Nous avons suivi 3 étapes :

Etape 1 : Elaboration d’un registre de traitement de données. Nous avons recensé les traitements non occasionnels et créer des fiches pour chaque activité de traitement.

Etape 2 : Conservation des données. Nous conservons seulement les données nécessaires à notre activité.

Etape 3 : Sécurisation des données. Nous avons renforcé la protection de toutes les données collectées sur nos logiciels informatiques afin de minimiser les risques.