À moins de huit mois de la fin d’un long débat et de nombreuses décisions plus ou moins remaniées, peu de chefs d’entreprise et de directeurs informatiques n’ont pas entendu parler du GDPR (General Data Protection Regulation). Cependant, alors que l’information semble être redescendue dans les entreprises, est-ce que la mise en place de mesures du GDPR pour se conformer à la date limite du 25 mai 2018 est elle actée pour tout le monde ?
Tandis que le GDPR concerne la protection des données personnelles — nos employés, nos clients et les données de toute autre personne traitées ou stockées par nos organisations — il s’agit également de protéger votre entreprise. Des amendes allant jusqu’à 20 millions d’euros (soit 4 % du chiffre d’affaires annuel brut) constituent une raison d’agir dès maintenant et de garantir la conformité de votre entreprise.
Pour ceux qui l’ignorent, le GDPR est une directive de l’Union européenne qui vise à consolider les règlements de protection des données dans les États membres de l’UE. Actuellement, les lois nationales sur la protection des données impliquent diverses interprétations de la confidentialité des données. Le GDPR est également le successeur d’une directive antérieure datant de 1995. Depuis lors, nous avons vu une énorme quantité d’innovation qui affecte la confidentialité des données et cette nouvelle législation augmente la portée de la directive de 1995 pour relever ces défis.
Voici un aperçu des facteurs clés que vous devez comprendre pour commencer avec le GDPR.
Quelles entreprises sont concernées par le GDPR ?
En bref, tout le monde. Le GDPR affecte toutes le;s entreprises qui collectent et traitent des données personnelles sur les ressortissants de l’UE ou les résidents de l’UE dans l’UE : y compris les citoyens de pays non membres de l’UE qui sont « dans l’UE ». Si votre entreprise est basée dans un État membre de l’UE, cela signifie que vous devez vous conformer à ces directives. Si votre entreprise se trouve en dehors de l’UE, mais gère des données personnelles provenant de particuliers dans l’UE, cela signifie que vous êtes également éligible à vous confirmer au GDPR.
Traitement des données personnelles dans GDPR
Le GDPR régit le traitement de toutes les données personnelles. Le traitement fait référence à la collecte de données sur un individu dans l’UE à quelque fin que ce soit. Cela va des données recueillies pour le bulletin inoffensif de l’entreprise et d’autres activités de marketing, aux données stockées concernant les employés, aux données des clients utilisées pour faciliter les transactions et à toutes les autres données personnelles que l’organisation recueille.
La nouvelle législation est également très claire sur la manière dont les données sont traitées en fonction de leur objectif. À savoir que les données personnelles ne peuvent être traitées que si elles ont un but précis et que seules les données pertinentes à cet effet peuvent être collectées. Elles ne peuvent pas être utilisées à d’autres fins que : « [les données ne peuvent être] collectées qu’à des fins précises, explicites et légitimes, et qu’elles ne soient pas traitées de manière incompatible avec ces finalités ».
Mais, qu’est-ce qui constitue les « données personnelles » ? Dans le cadre de cette législation, elles sont définies comme « toute information relative à une personne physique identifiée ou identifiable (“personne concernée”) ».
Droits pour les individus
Le GDPR fournit aux individus — vous et moi — de nouveaux droits que les organisations doivent respecter. Ceux-ci sont :
- Le droit d’être informé : les contrôleurs (l’entité qui détermine l’objectif de la collecte des données personnelles) doivent fournir des informations aux personnes concernées concernant la collecte et le traitement de leurs données personnelles.
- Le droit d’accès : les personnes concernées peuvent demander une copie des données à caractère personnel traitée. Par conséquent, les organisations doivent avoir les systèmes en place pour fournir cela.
- Le droit de rectification : les personnes concernées ont le droit de faire effacer ou rectifier des données inexactes ou incomplètes.
- Droit d’effacer : les personnes concernées ont le droit d’effacer des données personnelles (le « droit d’être oublié ») si les données ne sont plus nécessaires à leur objectif initial, la personne concernée retire le consentement donné, et aucun autre motif légal n’existe ou les données ont été traitées illégalement.
- Le droit de limiter le traitement : les personnes concernées ont le droit de restreindre le traitement des données personnelles sous certaines conditions.
- Droit à la portabilité des données : les personnes concernées ont le droit de recevoir une copie de leurs données personnelles dans un format lisible par machine couramment utilisée, et de transférer leurs données personnelles d’un contrôleur à un autre ou de les transmettre directement entre contrôleurs.
- Le droit d’opposition : si le traitement des données personnelles est fondé sur l’intérêt public ou les intérêts légitimes du responsable du traitement, les personnes concernées ont le droit de s’opposer au traitement des données personnelles.
Obligations des contrôleurs et des processeurs du GDPR
Les contrôleurs (les entités qui déterminent l’objectif de la collecte et du traitement des données) et les processeurs (les entités qui traitent les données personnelles pour le compte des contrôleurs) ont des obligations spécifiques en vertu du GDPR.
Par exemple, les contrôleurs doivent être en mesure de démontrer que des processus et des mesures sont en place pour s’assurer qu’ils sont conformes au cadre du GDPR. Cela signifie que les organisations doivent être préparées à faire face à des audits. La section V du GDPR énonce les « codes de conduite et de certification » qui fournissent aux contrôleurs un cadre pour assurer la conformité.
Sécurité des données personnelles
En plus de la confidentialité des données, le GDPR aborde également la protection des données dans la section « Sécurité des données personnelles ». Le principe de base est que les contrôleurs et les processeurs doivent disposer de mesures appropriées pour protéger les données personnelles contre le vol. Il incombe à l’organisation d’évaluer les risques et les menaces et de s’assurer que des mesures de sécurité adéquates sont en place.
Cependant, les éléments suivants sont identifiés comme des exigences minimales :
- la pseudonymisation et le chiffrement des données personnelles
- la capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience permanentes des systèmes et des services de traitement
- la possibilité de rétablir rapidement la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique
- un processus pour tester, évaluer et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Autorités et sanctions
Comme indiqué en haut de cet article, les organisations encourent des amendes allant jusqu’à 20 millions d’euros pour une violation du GDPR. Chaque état membre sera responsable de la surveillance du GDPR en nommant des autorités publiques indépendantes pour le faire. Ils devront collaborer avec leurs homologues dans d’autres états membres de l’UE.
Comment se rendre conforme au GDPR ?
Une exigence du GDPR est que les données personnelles soient « traitées de manière à assurer une sécurité appropriée des données personnelles, y compris la protection contre tout traitement non autorisé ou illicite et contre les pertes, destructions ou dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées »
Le GDPR exige également que le responsable du traitement « mette en œuvre des mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel nécessaires à chaque fin spécifique du traitement sont traitées ».
Prochaines étapes…
Définir dans les exigences minimales pour la sécurité des données personnelles est la clause que les contrôleurs doivent avoir afin d’avoir « la capacité d’assurer la confidentialité permanente, l’intégrité, la disponibilité et la résilience des systèmes de traitement et des services ».
Toutes ces exigences peuvent être atteintes avec des systèmes efficaces. Si votre organisation n’a pas mis en place les systèmes nécessaires pour se conformer au GDPR d’ici le mois de mai prochain, il est temps d’obtenir de l’aide.