L’introduction du règlement général de l’UE sur la protection des données, plus communément nommé RGPD ou GDPR dans les termes anglophones, dans quelques heures est une mise à jour unique de nos lois existantes et rend quelque peu obsolètes sur la protection des données.
RGPD est un cadre complexe d’exigences. Le principe de « confidentialité des données par conception et par défaut » est au cœur de ce principe, qui exige que tout risque pour les données personnelles soit atténué avant que les activités de traitement puissent commencer.
Le RGPD apporte de plus grands droits pour les personnes concernées, en permettant à chaque citoyen d’avoir une plus grande visibilité et un contrôle sur la façon dont ses données personnelles sont traitées. Et comme les journalistes ne cessent de nous le dire, des sanctions financières importantes sont prévues si les exigences du RGPD ne sont pas strictement respectées ou si une violation des données personnelles a lieu.
Avec des amendes pouvant aller jusqu’à 20 millions d’euros, cela devrait suffire à dissuader les organisations de ne pas prendre le RGPD au sérieux, et de s’assurer que leurs activités de traitement des données personnelles sont sécurisées et conformes.
Collecte, traitement, et stockage des données à la loupe
Les exploitants de sites Web, dans la grande majorité des cas, fournissent leurs services à d’autres organisations. En tant que tels, ils fournissent un service unique à chaque client et qui collecte, traite et stocke les données du site Web en fonction de leurs besoins.
Le RGPD met à jour les deux rôles de « contrôleur de données », c’est-à-dire l’organisme légalement responsable de la sécurité et de la protection des données personnelles traitées, et de « processeurs de données », c’est-à-dire les instructions écrites. Cela place une responsabilité accrue sur les exploitants de sites Web lorsqu’ils agissent en tant que processeurs de données, afin de s’assurer qu’ils comprennent parfaitement et fournissent les services mandatés par leur client.
Inversement, les contrôleurs de données sont tenus par le RGPD de n’utiliser que des processeurs de données qui peuvent fournir des garanties suffisantes que les exigences du RGPD seront satisfaites, en utilisant une combinaison de mesures techniques et organisationnelles. Cela signifie que les clients poseront des questions plus détaillées sur la fourniture de services de site Web avant de signer un contrat, et les exploitants de site Web sont encouragés à formuler leurs réponses pour aider leurs clients potentiels.
Une relation plus forte entre contrôleurs et processeurs de données
Que pourrait-on demander ?
- Sécurité technique de l’environnement du site Web : quels services et logiciels sont utilisés pour le site Web, et comment sont-ils conçus et gérés de manière sécurisée (licences, tests de correctifs, etc.) ?
- Contrôle d’accès et gestion des privilèges : quel personnel (et systèmes informatiques) est autorisé à accéder au backend du site Web, et à quelles fins ?
- Comment l’environnement d’hébergement Web est-il surveillé ? Peut-il détecter des accès non autorisés ou des violations de données, de sorte qu’une procédure de notification de violation de données peut être déclenchée ?
- Combien de données personnelles sont collectées et traitées ? Est-ce le minimum requis pour la tâche de traitement ? Combien de temps les données sont-elles conservées, et comment sont-elles éliminées en toute sécurité ?
- Où sont hébergés et gérés le site Web et les services connexes ? En dehors de l’UE, le pays concerné fournit-il un cadre de protection des données adéquat ?
- Y a-t-il des sous-traitants engagés par l’exploitant du site Web ?
- Comment l’exploitant du site Web peut-il aider le client avec les demandes de droits de l’utilisateur ?
S’il est clair que le RGPD exige une attention et un effort de la part de toutes les entreprises, il est tout à fait approprié au niveau de traitement des données personnelles dans le monde d’aujourd’hui.
Et, n’oublions pas que chacun d’entre nous est un sujet de données, et nous devrions tous raisonnablement nous attendre à ce que nos données personnelles soient conservées en toute sécurité, traitées uniquement à des fins que nous comprenons, et rapidement supprimées lorsqu’elles ne sont plus nécessaires. Ce n’est pas trop demander, n’est-ce pas ?