Les notifications de violation proactives permettent de réduire les sanctions du RGPD

Les notifications de violation proactives permettent de réduire les sanctions du RGPD

Dans le RGPD, les sanctions en cas de violation de la sécurité des données semblent définies pour nuire aux entreprises non conformes, mais elles vont aussi favoriser une bonne gouvernance de la sécurité.

Les sanctions définies dans le RGPD pour punir les violations de sécurité des données ont tous les ingrédients d'un film d'horreur fiscal, où les entreprises qui enfreignent le règlement s'exposent à des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour un groupe (le plus élevé des deux). Cela dépasse de loin la sanction maximale actuelle (500 000 £) imposable par l'Information Commissioner's Office (ICO) au Royaume-Uni. On comprendra donc l'inquiétude des entreprises qui surveillent ou traitent des données personnelles concernant des citoyens européens.

En effet, le conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC, Payment Card Industry Security Standards Council) estime que lorsque le nouveau règlement entrera en vigueur, en mai 2018, les entreprises britanniques pourraient subir des sanctions allant jusqu'à 122 milliards de livres pour violation de la sécurité des données.

Si cette estimation est peu rassurante, il convient de noter que la sanction de 20 millions d'euros ou 4 % du chiffre d'affaires est la sanction maximale en cas de violation de la sécurité des données, et qu'elle se trouve en première ligne de la structure des sanctions.

 

Alternatives aux sanctions

Si une entreprise ne satisfait pas les exigences du RGPD, l'autorité de contrôle (c'est-à-dire l'ICO au Royaume-Uni) peut choisir une autre voie.

Les autorités de contrôle ont d'autres pouvoirs de correction : adresser des mises en garde et des admonestations, émettre des ordonnances exécutoires et, dans les cas extrêmes, interdire à une entreprise de traiter des données personnelles (ce qui peut la mettre en faillite).

Les sanctions imposées par les autorités de contrôle doivent être « efficaces, proportionnées et dissuasives » dans tous les cas. Il existe deux catégories de sanctions. De manière générale, la première concerne toute violation d'une obligation par une entité responsable du traitement des données ou par un sous-traitant. Dans cette catégorie, la sanction maximale s'élève à 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial total.

Dans la deuxième catégorie (globalement associée aux violations des droits et libertés des personnes concernées par les données), la sanction maximale est de 20 000 000 € ou 4 % chiffre d'affaires annuel total pour un groupe.

Duncan Brown, analyste IDC, commente : « Les sanctions sont conçues pour être dissuasives, donc elles sont censées faire mal. Mais, d'après mes sources, si vous pouvez démontrer que vos processus sont adéquats et que vous vous efforcez vraiment de réaliser la conformité, les organismes régulateurs seront plus indulgents. »

Comment les entreprises peuvent-elles éviter d'encourir de si lourdes sanctions pour violation de la sécurité des données ? Les experts affirment que l'utilisation des technologies de chiffrement et de pseudonymisation permet de réduire sensiblement les risques de violation de la sécurité des données.

Signalisation proactive des violations de sécurité

En vertu du RGPD, les entités responsables du traitement des données doivent signaler toute violation de sécurité à une autorité dans les 72 heures qui suivent sa découverte ou, en cas de délai, fournir les raisons de ce retard. Dans le cadre du RGPD, une violation de la sécurité des données personnelles est définie comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. »

Dans la notification, le responsable du traitement des données (généralement, l'entreprise qui traite les données de ses clients et qui assume la responsabilité finale pour la conformité avec le RGPD) doit « au moins » décrire la nature de la violation de données personnelles, indiquer les conséquences probables de l'incident et expliquer comment il propose de le résoudre.

Brian Honan, PDG et expert en sécurité chez BH Consulting, recommande : « Les entreprises doivent bien préparer leurs processus d'intervention en cas d'incident. Outre les aspects techniques des violations des données, ces processus doivent inclure les relations publiques, la stratégie de communication et les concertations avec les organismes régulateurs. »

Il ajoute : « Ces dispositions doivent être testées régulièrement pour vérifier qu'elles fonctionnent comme prévu. Les entreprises doivent également instaurer les contrôles de surveillance et de détection appropriés, afin de pouvoir identifier et analyser rapidement toute violation de données. »

Dans le but de minimiser les sanctions (et les coûts associés aux violations de données, susceptibles de s'alourdir considérablement avec l'obligation d'informer les personnes concernées), il est important que les équipes de sécurité et le DPD agissent de manière proactive en sécurisant les données, en signalant tout incident et en démontrant qu'ils appliquent une approche positive pour garantir la sécurité.

« Si vous pouvez fournir plus d'informations, vous serez en meilleure position et l'organisme régulateur sera plus indulgent », assure Duncan Brown d'IDC.

Toutefois, d'après Duncan Brown, au lieu de se focaliser sur les sanctions, « les entreprises devraient chercher à identifier les meilleures pratiques, selon leur taille et leur complexité. Si elles se concentrent là-dessus, la conformité devrait s'avérer plus facile. »

Juridique Propriété des données Responsable de la conformité Responsable de la sécurité informatique

Donnez-nous votre avis et rejoignez-nous sur LinkedIn!

S'ABONNER

S'inscrire pour recevoir les bulletins GDPR & Beyond