En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    IT & IT Security Meetings 2018

    IT Meetings devient IT & IT Security Meetings et ouvrira ses portes en mars, du…

    en détail En détail...
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour la vente de montures
    < 1 500 €
    > En savoir plus
  • Création d'un site E-commerce dans la vente de prêt-à-porter et accessoires
    <1000 €
    > En savoir plus
  • Création d'un site eCommerce pour la vente de prêt-à-porter
    < 1 000 €
    > En savoir plus
Arcaneo_Congres DSI 2018_leaderboard

Nouvelle législation européenne relative à la protection des données : ce qu’il faut savoir

Ixia_RGPD_pave

Pour Norman Girard, vice-président et directeur général Europe de Varonis, nous avons désormais une idée assez précise de ce à quoi le GDPR final ressemblera. Il lui semble donc essentiel que les entreprises commencent à réfléchir à cinq points qu’il détaille dans cet avis d’expert.

Les régulateurs européens sont sérieux en ce qui concerne la réforme de la protection des données. Ils ont presque finalisé le General Data Protection Regulation (règlement général sur la protection des données, GDPR). Celui-ci constitue une reformulation des règles existantes de protection des données et de protection de la vie privée définies dans l’ancienne Directive de Protection des données. Un nouveau monde européen de données s’annonce !

Beaucoup de spécialistes ont abordé le long parcours épique du au cours des deux dernières années. Mais avec le Conseil de l’Union européenne (une sorte d’organe exécutif de l’UE) approuvant sa propre version, la scène est prête pour trouver un compromis avec le Parlement européen lors d’un débat final. Le GDPR sera probablement approuvé d’ici la fin de l’année 2015 (ou le début de l’année 2016) et entrera en vigueur en 2017. Les entreprises, dont les multinationales américaines détenant des informations personnelles de citoyens européens, devront bientôt se conformer à des règles plus strictes pour prouver qu’elles protègent activement les données personnelles qui leur ont été confiées.

Selon la plus récente proposition du Conseil, nous avons désormais une idée assez précise de ce à quoi le GDPR final ressemblera. Il nous semble donc essentiel pour les entreprises de commencer à réfléchir aux cinq points ci-dessous.

  1. Mettre en place des principes de respect de la vie privée dès la conception

Développé par Ann Cavoukian, ancien commissaire à l’information et à la protection de la vie privée de l’Ontario, Privacy by Design (PbD) a eu une grande influence sur les experts en matière de sécurité, les responsables politiques et les régulateurs. Cavoukian croit que Big data et vie privée peuvent coexister. Pour l’essentiel, son message dit que vous pouvez prendre quelques mesures de base pour implémenter la vision PbD : minimiser les données recueillies (en particulier les informations personnelles) auprès des consommateurs, ne pas conserver les données personnelles au-delà de la durée prévue à l’origine, et donner aux consommateurs l’accès à leurs données ainsi que leur propriété.

L’UE aime aussi PbD. De nombreuses références y sont faites dans l’article 23 et dans beaucoup d’autres textes de la nouvelle réglementation. Il n’est pas très difficile de déduire que si vous implémentez PbD, vous avez maîtrisé le GDPR. Vous avez besoin de vous mettre rapidement au diapason ? Utilisez cet aide-mémoire pour comprendre les principes de PbD et vous guider dans vos principales décisions en matière de sécurité des données.

 

  1. Le droit d’être oublié

Le tant controversé « droit à l’oubli numérique » deviendra bientôt la loi de l’UE. Pour la plupart des entreprises, c’est véritablement le droit des consommateurs d’effacer leurs données.

Abordé dans l’article 17 du GDPR proposé, il stipule que « Le (…) responsable du traitement est tenu d’effacer les données à caractère personnel dans les meilleurs délais, notamment en ce qui concerne les données à caractère personnel qui sont collectées lorsque la personne concernée a le statut d’enfant. Et la personne concernée a le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant, dans les meilleurs délais ». Je crois que cela énonce clairement le droit à l’effacement.

Qu’advient-il si le responsable du traitement des données transmet les données personnelles à certaines tierces parties telles qu’un service de stockage ou de traitement dans le Cloud ? La réglementation européenne continue de s’appliquer : en tant que sous-traitant, le service Cloud devra aussi effacer les données personnelles lorsque le responsable du traitement des données lui demandera de le faire.

Traduction : le consommateur ou sujet concerné par les données peut demander l’effacement des données détenues par les entreprises à tout instant. Dans l’UE, les données appartiennent au peuple !

  1. Les multinationales américaines doivent protéger les données

Il convient de souligner que nous avons plusieurs fois rappelé aux grandes multinationales américaines recueillant des données auprès de citoyens européens de mettre en place des stratégies de sécurité des données comme si leurs serveurs se trouvaient dans l’UE.

Connu sous le nom « d’extraterritorialité », ce principe est abordé au début du GDPR proposé. Pour ceux qui ont une fibre juridique, voici le langage employé dans toute sa beauté bureaucratique :

La circulation transfrontière des données à caractère personnel […] est nécessaire au développement de la coopération internationale et du commerce mondial […] lorsque ces données sont transférées de l’Union vers des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne soit pas amoindri.

Il existe certains problèmes et certaines difficultés relatives à la manière dont cela sera appliqué. Mais avec les Etats-Unis disant que leurs lois de stockage s’appliquent aux données situées sur des serveurs irlandais, il semble tout à fait naturel que l’UE effectue le même type de demande à propos des données de ses citoyens détenues aux États-Unis !

  1. Quelle amende devrez-vous payer ?

Pour les infractions sérieuses (telles que le traitement de données sensibles sans consentement ou autre motif juridique), les régulateurs peuvent imposer des pénalités. Il existe des différences entre la version du Conseil de l’Union européenne et celle du Parlement. Le Conseil autorise des amendes s’élevant jusqu’à 1 million d’euros ou 2 % du CA annuel de la société. Les amendes prévues par le Parlement s’avèrent plus sévères et atteignent 100 millions d’euros ou 5 % du CA annuel. Ces deux organes devront trouver un compromis au cours des prochains mois.

Indépendamment de la loi finale, le plus important est que les pénalités du GDPR représenteront des sommes sérieuses pour les multinationales américaines.

  1. Envisagez de désigner ou d’embaucher un délégué à la protection des données

Les projets importants (et la proposition de GDPR européen est un projet énorme) ont besoin de propriétaires. Dans la proposition de GDPR, le délégué à la protection des données (DPD) est censé être responsable de la création des contrôles d’accès et de la réduction des risques. Il doit aussi assurer la conformité, répondre aux demandes, signaler les violations dans les 72 heures, et même de créer une bonne stratégie de sécurité des données.

Vous faudra-t-il désigner un DPD dans votre entreprise ? À ce stade, il existe à nouveau des différences entre les propositions du Conseil et celles du Parlement. Le Conseil voudrait en faire une clause discrétionnaire et permettre à chaque état membre de décider si elle doit constituer une condition obligatoire ou non.

Notre opinion : donnez à quelqu’un dans votre entreprise les pouvoirs d’un DPD de manière informelle. Il semble logique de disposer d’un responsable ou d’un cadre de haut niveau chargé de gérer les lois européennes.

Si vous prenez en comptes ces cinq points, votre entreprise aura déjà fait un grand pas en avant pour faciliter sa future mise en conformité avec la législation à venir

Nouvelle législation européenne relative à la protection des données : ce qu’il faut savoir
Notez cet article

Laisser un commentaire

GDPR VS ISO

L’apport de la gestion des accès à privilèges (PAM) à la conformité réglementaire.Une cartographie comparative. Lire le livre blanc

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Cybersécurité : le projet de loi de transposition de la directive NIS adopté en 1ère lecture

    Présenté au Sénat par le secrétaire d’Etat au Numérique, Mounir Mahjoubi, le projet de loi…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expertise - "Les technologies émergentes vont révolutionner la prestation de services online", Rajasekar Sekhar Reddy - Wipro

    Cet article de Rajasekar Sekhar Reddy, Architecte Solution Principal, CTO Office chez Wipro, explique aux…

    > En savoir plus...
Etudes/Enquêtes
  • Startups Deep Tech : la France dans le Top 5 des investissements

    En Europe, depuis 2015, les investissements en capital-risque dans la "Deep Tech" ont augmenté 3…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Arcaneo_Congres DSI 2018_skycraper
Agenda
livres blancs
Les Livres
Blancs
Ixia_RGPD_skycraper