FAQ du RGPD : ce que votre équipe de sécurité doit savoir

FAQ du RGPD : ce que votre équipe de sécurité doit savoir

Qu'est-ce que le RGPD et quelle est l'échéance pour la mise en conformité ?

Le règlement général sur la protection des données (RGPD) est la nouvelle législation européenne sur la protection des données, qui remplace la directive de protection des données de l'UE de 1995 ainsi que le cadre législatif de chaque État membre de l'Union européenne qui l'avait mis en place.

C'est le fruit de plusieurs années de négociations : la proposition avait été publiée en 2012 et a finalement été adoptée en avril l'an dernier par le Conseil de l'Union européenne et le Parlement européen. La loi a été adoptée en mai l'an dernier, marquant ainsi le début d'une période de transition de deux ans avant sa pleine entrée en vigueur en mai 2018.

Le RGPD s'appliquera à tous les États membres de l'UE à partir du 25 mai 2018, y compris le Royaume-Uni. Les entreprises britanniques doivent noter qu'elles seront obligées de se conformer à ce règlement malgré le Brexit, car le Royaume-Uni sera toujours membre de l'UE au moment de son entrée en vigueur.

Ainsi, à un peu plus d'un an de son application, de nombreuses questions de sécurité se posent à propos du RGPD :

Que se passe-t-il si vous n'êtes pas en conformité ? Quel est l'ordre de grandeur des amendes ?

Les potentielles amendes prévues par le RGPD sont bien plus importantes que celles des lois de protection des données actuellement en vigueur dans les États membres de l'Union européenne.

Par exemple, sous la loi de protection des données du Royaume-Uni, une entreprise britannique non conforme s'expose à une amende maximale de 500 000 £, bien qu'en pratique les amendes étaient moins importantes. La plus grosse sanction infligée par l'Information Commissioner's Office (ICO) au Royaume-Uni l'a été au fournisseur de télécommunications TalkTalk, qui a dû payer une amende de 400 000 £ en octobre 2016 après qu'une enquête ait mis en lumière son échec à prendre des « précautions de base » afin de protéger les données de ses clients.

Tout cela change avec l'instauration du RGPD : les amendes maximales à compter du mois de mai 2018 pourront s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires global (le plus élevé des deux).

Il s'agit clairement d'une augmentation considérable, qui modifie de manière significative les risques encourus par une entreprise et peut ainsi affecter sa stratégie de gestion des risques.

Quels sont les changements majeurs ?

Le RGPD comprend de nombreuses dispositions notables, mais les changements les plus significatifs concernent le cadre territorial étendu, une plus grande emphase sur la transparence et des droits élargis pour les personnes.

Le cadre territorial étendu de la loi représente un des plus gros changements liés au RGPD, puisqu'il s'appliquera à toute entreprise qui traitera des données personnelles basées dans l'UE, que l'entreprise soit basée dans l'UE, dans la Silicon Fen (Royaume-Uni) ou dans la Silicon Valley. En clair, si votre personnel, vos prestataires, vos clients ou vos fournisseurs sont citoyens ou résidents de l'UE et que vous traitez leurs données, vous devrez très certainement vous mettre en conformité ou en assumer les conséquences.

La transparence signifie que les entreprises doivent utiliser un langage clair et approprié lorsqu'elles prévoiront leur utilisation de données personnelles : cela signifie notamment la fin de pages incompréhensibles de mentions légales. Si vous vous basez sur le consentement des personnes pour pouvoir traiter leurs données, elles doivent comprendre ce à quoi elles consentent pour que ce consentement soit valide.

Judith Vieberink, avocate du cabinet First Lawyers (Pays-Bas), déclare : « Cela signifie que le désengagement n'est désormais plus adapté : c'est un processus beaucoup plus lourd avec le RGPD. »

Tim Turner, un expert du RGPD qui dirige la consultation 2040 Training, remarque qu'un grand nombre de mesures sont laissées à la discrétion des organisations et de l'Information Commissioner's Office (ICO) par la loi de protection des données britannique. Le RGPD est en revanche beaucoup plus explicite, avec « bien plus de concision ». Il ajoute : « À l'heure actuelle, l'Information Commissioner a un champ d'action étendu, mais il est compliqué à mettre en œuvre. »

Cela offre de plus grands droits aux personnes. Turner explique : « Le RGPD a pour intention claire de renforcer massivement les droits des personnes : rapprocher encore plus la personne et l'organisation en matière de pouvoirs. »

Cela se traduit notamment par le « droit à l'oubli », qui est une disposition du RGPD avec laquelle une personne peut demander à une organisation les données qu'elle possède et leur suppression selon certaines circonstances.

« Les organisations ont actuellement beaucoup de possibilités pour vous tromper », poursuit Turner. « Les personnes auront beaucoup plus de pouvoir [grâce au RGPD]. »

Qui le RGPD affecte-t-il le plus ?

De manière discutable, ce sont les personnes visées par les données qui seront les plus affectées, puisqu'elles auront beaucoup plus d'informations et des droits plus importants, à la fois sur la façon dont leurs données sont utilisées et sur la compensation qu'elles pourront demander aux entreprises qui ne se conformeront pas à la loi.

Cependant, le RGPD aura également une incidence sur les entreprises à l'intérieur et à l'extérieur de l'UE qui devront se mettre en conformité, et il affectera également les équipes dirigeantes de ces entreprises : la protection des données dès la conception (Privacy by Design), qui est un des piliers du RGPD, signifie que la stratégie et la politique de données doivent être définies par la direction et menées comme partie intégrante du processus, des premières étapes de l'élaboration d'un projet jusqu'à sa livraison et son exécution. Ce n'est pas quelque chose qui peut être simplement délégué à l'équipe informatique.

Les entreprises devront également nommer un délégué à la protection des données (DPD), un expert dont le poste consiste à surveiller la conformité et à faire le lien avec les autorités locales de protection des données.

Vieberink explique que « pour contrebalancer les intérêts commerciaux de l'entreprise avec les droits à la confidentialité des personnes, le DPD doit être indépendant du conseil d'administration (art. 38 al. 3 du RGPD) et indépendant du contrôleur interne et externe ». Elle ajoute : « Vous pouvez en avoir un au sein de votre entreprise, mais vous devrez alors vous poser une question : comment garantir son indépendance ? »

Comment cela affectera-t-il mon équipe de sécurité informatique et comment dois-je me mettre en conformité ?

Les équipes de sécurité informatique ont une lourde tâche devant eux, alors que les études successives indiquent que beaucoup d'entreprises européennes commencent à peine à se préparer pour le RGPD.

Turner explique que le point de départ est de « commencer à rassembler des informations. Regardez les flux d'information à l'intérieur et à l'extérieur de vos organisations. Regardez qui possède des données, qui en est responsable. Si vous n'avez pas une compréhension stratégique de cela, si vous ne savez pas les ressources d'information que vous possédez, vous ne pouvez pas être en conformité. »

« La conformité n'est pas une mince affaire », ajoute Vieberink.

Comment cela affectera-t-il les informations que je collecte auprès de mes clients ?

Comme précédemment mentionné, les organisations qui traitent des données personnelles avec le consentement des personnes devront s'assurer qu'elles disposent d'un consentement valide de la part des personnes dont elles détiennent des données pour pouvoir les détenir et les traiter (même s'il est important de noter qu'il existe, avec le RGPD, d'autres bases légales pour lesquelles le consentement n'est pas requis – N.D.L.R). De plus, les organisations devront être capables de se conformer au droit à l'oubli. Pour Turner, « les organisations détiennent un grand nombre de données dont elles n'ont pas vraiment l'utilité ». Selon lui, elles devront être en mesure de localiser les données d'un utilisateur et de les supprimer de manière définitive.

Que se passe-t-il si mes données sont stockées dans le cloud ?

Une fois de plus, le fait d'être en conformité lorsque vous avez des données stockées dans le cloud revient à savoir où les données sont conservées. Votre organisation devra démontrer que les données sont stockées et transférées selon un processus conforme aux exigences du RGPD. Cela commence par « comprendre où sont ces flux, mais aussi ce qui se trouve dans le cloud », selon Tim Turner.

En outre, d'autres experts de la confidentialité soutiennent que les organisations pourraient demander à ne travailler qu'avec des fournisseurs de cloud qui leur donneraient des garanties en ce qui concerne la confidentialité et l'assurance d'être en conformité avec le RGPD, tout particulièrement alors que certains fournisseurs de cloud tentent tant bien que mal de se mettre en conformité avec le RGPD avant l'échéance de mai 2018.

Vieberink ajoute que les entreprises devront être capables de répondre aux questions suivantes : « Qui reçoit les données que j'échange en dehors de mon entreprise ? Quelles règles dois-je appliquer ? »

Le RGPD représente un énorme changement pour les entreprises. Il exige un leadership stratégique dès son lancement et tout au long du processus de préparation et de mise en œuvre des politiques en matière de données. Si vous faites partie des organisations qui n'ont pas encore réellement abordé cette transition, il est plus que jamais l'heure de commencer.

Chiffrement Juridique Responsable de la sécurité informatique Violation de données

Donnez-nous votre avis et rejoignez-nous sur LinkedIn!

S'ABONNER

S'inscrire pour recevoir les bulletins GDPR & Beyond