Le RGPD, ou Règlement général sur la protection des données, est entré en vigueur le 25 mai 2018 en UE. Il établit un nouveau cadre juridique pour la protection des données personnelles applicable aux citoyens et aux entreprises. Les droits des collaborateurs sur la protection des données personnelles et la responsabilité des acteurs traitant les données, notamment les DSI ou gestionnaires de flotte mobile se trouvent ainsi renforcés. La sortie de parc des ordinateurs entreprise, tablettes professionnelles ou smartphones professionnels devient clé quant à l’application des règles RGPD Mobile et en tant que décisionnaire il est de votre responsabilité d’en assurer une sortie de parc en bonne et due forme.
Préparer la sortie de parc de vos équipements mobiles en responsabilisant vos collaborateurs
Vos données vous appartiennent ! Et en ce qui concerne les équipements mobiles professionnels, les collaborateurs ont des droits :
- Fourniture des informations sur le traitement des données à caractère personnel
- Certificat d’effacement des données à caractère personnel
- Récupération des données personnelles dans un format utilisé et lisible par machine
Ces trois points ont une résonnance particulière quand il s’agit de gérer la sortie de parc des équipements informatiques professionnels. En effet, les smartphones professionnels, PC entreprise et tablettes entreprise contiennent des informations à caractère personnel de vos collaborateurs, et il est important de les informer et les responsabiliser sur ce sujet pour préparer la sortie de parc :
- Informer sur les enjeux de leurs données à caractère personnel dans leurs équipements mobiles professionnels
- Proposer à vos collaborateurs de sauvegarder leurs données. En cas de destruction des équipements mobiles entreprise ou d’effacement de données, ces dernières seront autrement définitivement perdues.
- Demander de retirer leurs comptes icloud et gmail. Non seulement ces comptes présentent des enjeux au niveau de la gestion des données mais ils peuvent aussi bloquer le smartphone en cas de revalorisation
RGPD mobile : quelles sont vos obligations !
Assurer la bonne sortie de ses ordinateurs portables professionnels, smartphones entreprise ou tablettes pro, que ce soit dans le cadre d’une reprise d’équipements informatique ou d’un don à une association, entre autres, c’est d’abord être en accord avec les règles RGPD. Les entreprises ont pour cela des obligations :
- Elles doivent être en capacité de prouver que le traitement de données à caractère personnel respecte les règles. Cela passe entre autres par la transparence au niveau des process mis en place, et les certifications pour l’effacement et le traitement des données.
- Elles doivent s’assurer que les collaborateurs sont informés, de manière claire et concise, de la durée de conservation des données, de l’existence de profilage, de leurs droits et des voies de recours disponibles ; elles doivent donc être transparentes quant au devenir des données des collaborateurs dans un cadre de sortie de parc et/ou changement d’équipements informatiques.
- Elles ont également l’obligation de permettre aux personnes dont les données sont traitées d’exercer leurs droits (à l’oubli, à la portabilité des données, de limitation… etc.). Dans notre cas concret de sortie de parc mobile, cela veut dire s’assurer de la sauvegarde et l’effacement des données des dispositifs.
Pour la reprise de parc informatique : choisir des acteurs de confiance
Dans certains cas, des sociétés peuvent collecter les données sur votre entreprise ou vos collaborateurs en vue d’une escroquerie ou d’une attaque informatique. Il est donc important d’avoir un cadre règlementaire dès que vous confiez votre parc informatique à un tiers, que ce soit ponctuellement un PC entreprise ou un smartphone professionnel pour un acte de maintenance mobile ou plus globalement dans le cadre d’une reprise de parc informatique.
Nous avons abordé les certifications qui attestent de l’effacement de données lors des sorties de parc informatique. Il faut être vigilants dans le choix des partenaires à qui vous confiez votre parc, et vérifier qu’ils disposent d’un agrément d’effacement des données reconnu et certifie tel que blancco.
Par ailleurs, pour assurer le respect des règles RGPD mobile, assurez-vous de centraliser et proposer à vos collaborateurs des services liés à la flotte informatique. Par exemple, en ayant un partenaire pour la maintenance, vous évitez que vos collaborateurs choisissent un acteur peu fiable pour leurs réparations mobiles. En centralisant les smartphones et tablettes d’entreprise avant la sortie de parc, vous vous assurez que le même traitement d’effacement de données est suivi pour chaque équipement mobile entreprise, que ce soit pour valoriser le parc informatique ou pour redistribuer les devices auprès de vos collaborateurs. Ainsi, vous évitez la fuite ou la mauvaise utilisation de données à caractère sensible pour vous en tant que société et pour vos collaborateurs.
Pour conclure, il est important d’être transparents dans vos démarches de gestion et traitement de données auprès de vos collaborateurs en ce qui concerne votre politique de RGPD Mobile. Ces derniers doivent être sensibilisés aux règles RGPD et préparer la sortie de parc de la flotte informatique d’entreprise. Cela passera par la sauvegarde de leurs données et le retrait de leur comptes icloud et gmail. Par ailleurs, l’entreprise doit s’assurer qu’elle confie son parc mobile à des acteurs reconnus et certifiés, pour la sortie de parc mais aussi pour la maintenance !
