Cinq choses à savoir sur la nouvelle législation européenne relative à la protection des données

Par Norman Girard, Vice Président et directeur général Europe de Varonis Les régulateurs européens sont sérieux en ce qui concerne la réforme de la protection des données. Ils ont presque...
David Gibson
4 minute de lecture
Dernière mise à jour 28 octobre 2021

Par Norman Girard, Vice Président et directeur général Europe de Varonis

Les régulateurs européens sont sérieux en ce qui concerne la réforme de la protection des données. Ils ont presque finalisé le General Data Protection Regulation (règlement général sur la protection des données, GDPR). Celui-ci constitue une reformulation des règles existantes de protection des données et de protection de la vie privée définies dans l’ancienne Directive de Protection des données. Un nouveau monde européen de données s’annonce !

Beaucoup de spécialistes ont abordé le long parcours épique du GDPR au cours des deux dernières années. Mais avec le Conseil de l’Union européenne (une sorte d’organe exécutif de l’UE) approuvant sa propre version, la scène est prête pour trouver un compromis avec le Parlement européen lors d’un débat final. Le GDPR sera probablement approuvé d’ici la fin de l’année 2015 (ou le début de l’année 2016) et entrera en vigueur en 2017. Les entreprises, dont les multinationales américaines détenant des informations personnelles de citoyens européens, devront bientôt se conformer à des règles plus strictes pour prouver qu’elles protègent activement les données personnelles qui leur ont été confiées.

Selon la plus récente proposition du Conseil, nous avons désormais une idée assez précise de ce à quoi le GDPR final ressemblera. Il nous semble donc essentiel pour les entreprises de commencer à réfléchir aux cinq points ci-dessous.

1. Mettre en place des principes de respect de la vie privée dès la conception

Développé par Ann Cavoukian, ancien commissaire à l’information et à la protection de la vie privée de l’Ontario, Privacy by Design (PbD) a eu une grande influence sur les experts en matière de sécurité, les responsables politiques et les régulateurs. Cavoukian croit que Big data et vie privée peuvent coexister. Pour l’essentiel, son message dit que vous pouvez prendre quelques mesures de base pour implémenter la vision PbD : minimiser les données recueillies (en particulier les informations personnelles) auprès des consommateurs, ne pas conserver les données personnelles au-delà de la durée prévue à l’origine, et donner aux consommateurs l’accès à leurs données ainsi que leur propriété.

L’UE aime aussi PbD. De nombreuses références y sont faites dans l’article 23 et dans beaucoup d’autres textes de la nouvelle réglementation. Il n’est pas très difficile de déduire que si vous implémentez PbD, vous avez maîtrisé le GDPR.

Vous avez besoin de vous mettre rapidement au diapason ? Utilisez cet aide-mémoire pour comprendre les principes de PbD et vous guider dans vos principales décisions en matière de sécurité des données.

2. Le droit d’être oublié

Le tant controversé « droit à l’oubli numérique » deviendra bientôt la loi de l’UE. Pour la plupart des entreprises, c’est véritablement le droit des consommateurs d’effacer leurs données.

Abordé dans l’article 17 du GDPR proposé, il stipule que « Le (…) responsable du traitement est tenu d’effacer les données à caractère personnel dans les meilleurs délais, notamment en ce qui concerne les données à caractère personnel qui sont collectées lorsque la personne concernée a le statut d’enfant. Et la personne concernée a le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant, dans les meilleurs délais ».

Je crois que cela énonce clairement le droit à l’effacement.

Qu’advient-il si le responsable du traitement des données transmet les données personnelles à certaines tierces parties telles qu’un service de stockage ou de traitement dans le cloud ? La réglementation européenne continue de s’appliquer : en tant que sous-traitant, le service cloud devra aussi effacer les données personnelles lorsque le responsable du traitement des données lui demandera de le faire.

Traduction : le consommateur ou sujet concerné par les données peut demander l’effacement des données détenues par les entreprises à tout instant. Dans l’UE, les données appartiennent au peuple !

3. Les multinationales américaines doivent protéger les données

Il convient de rappeler le précédent article de blog d’Andy dans lequel il demande instamment aux grandes multinationales américaines recueillant des données auprès de citoyens européens de mettre en place des stratégies de sécurité des données comme si leurs serveurs se trouvaient dans l’UE.

Connu sous le nom « d’extraterritorialité », ce principe est abordé au début du GDPR proposé. Pour ceux qui ont une fibre juridique, voici le langage employé dans toute sa beauté bureaucratique :

La circulation transfrontière des données à caractère personnel […] est nécessaire au développement de la coopération internationale et du commerce mondial […] lorsque ces données sont transférées de l’Union vers des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne soit pas amoindri.

Il existe certains problèmes et certaines difficultés relatives à la manière dont cela sera appliqué. Mais avec les États-Unis disant que leurs lois de stockage s’appliquent aux données situées sur des serveurs irlandais, il semble tout à fait naturel que l’UE effectue le même type de demande à propos des données de ses citoyens détenues aux États-Unis !

4. Quelle amende devrez-vous payer ?

Pour les infractions sérieuses (telles que le traitement de données sensibles sans consentement ou autre motif juridique), les régulateurs peuvent imposer des pénalités. Il existe des différences entre la version du Conseil de l’Union européenne et celle du Parlement. Le Conseil autorise des amendes s’élevant jusqu’à 1 million d’euros ou 2 % du CA annuel de la société. Les amendes prévues par le Parlement s’avèrent plus sévères et atteignent 100 millions d’euros ou 5 % du CA annuel. Ces deux organes devront trouver un compromis au cours des prochains mois.

Indépendamment de la loi finale, le plus important est que les pénalités du GDPR représenteront des sommes sérieuses pour les multinationales américaines.

5. Envisagez de désigner ou d’embaucher un délégué à la protection des données

Les projets importants (et la proposition de GDPR européen est un projet énorme) ont besoin de propriétaires. Dans la proposition de GDPR, le délégué à la protection des données (DPD) est censé être responsable de la création des contrôles d’accès et de la réduction des risques. Il doit aussi assurer la conformité, répondre aux demandes, signaler les violations dans les 72 heures, et même de créer une bonne stratégie de sécurité des données.

Vous faudra-t-il désigner un DPD dans votre entreprise ? À ce stade, il existe à nouveau des différences entre les propositions du Conseil et celles du Parlement. Le Conseil voudrait en faire une clause discrétionnaire et permettre à chaque état membre de décider si elle doit constituer une condition obligatoire ou non.

Notre opinion : donnez à quelqu’un dans votre entreprise les pouvoirs d’un DPD de manière informelle. Il semble logique de disposer d’un responsable ou d’un cadre de haut niveau chargé de gérer les lois européennes.

Si vous prenez en comptes ces cinq points, votre entreprise aura déjà fait un grand pas en avant pour faciliter sa future mise en conformité avec la législation à venir.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

le-train-européen-des-projets-de-réformes-portant-sur-la-protection-des-données-prend-de-l’élan
Le train européen des projets de réformes portant sur la protection des données prend de l’élan
Le Parlement européen a récemment voté pour approuver les réformes sur la protection de données avec 621 voix pour et seulement 10 contre. Au terme d’un long processus législatif controversé,...
prévention-des-programmes-malveillants-sur-les-points-de-vente-:-quelques-conseils-efficaces.
Prévention des programmes malveillants sur les points de vente : quelques conseils efficaces.
Par Norman Girard, Vice Président et directeur général Europe de Varonis Il y a encore beaucoup de choses que nous ne savons pas à propos des attaques qui ont visé...
les-entreprises-ne-sont-pas-encore-prêtes-pour-la-nouvelle-réglementation-européenne-sur-la-protection-des-données
Les entreprises ne sont pas encore prêtes pour la nouvelle réglementation européenne sur la protection des données
Par Norman Girard, Vice Président et directeur général Europe de Varonis Varonis a récemment interrogé les professionnels présents lors du CeBIT à propos de leur compréhension globale de la prochaine...
relier-les-points-entre-phishing,-données-d’origine-humaine-et-données-compromises
Relier les points entre phishing, données d’origine humaine et données compromises
La semaine dernière, j’ai écrit un texte sur certaines des conséquences de la récente allocution de Bruce Schneier lors d’une conférence sur la cryptographie qui a eu lieu à New...