Se préparer pour le règlement général sur la protection des données de l’UE

Le règlement général sur la protection des données de l’UE (GDPR) a atteint sa forme finale au terme des discussions du trilogue en décembre dernier. Mais dans la saga à rebondissements du GDPR, il y a toujours un obstacle de plus à surmonter. En avril dernier, le Parlement européen a approuvé le texte final élaboré pendant les discussions.

Le compte à rebours est donc désormais commencé et les entreprises ont deux ans pour mettre de l’ordre dans leurs data centers. Le GDPR n’entrera pas en vigueur avant mai 2018.

Techniquement, le GDPR se trouve dans sa phase finale depuis presque un an, les principaux acteurs mettant au point quelques détails importants. Ainsi, les entreprises qui ont suivi l’affaire ont maintenant une longueur d’avance supplémentaire.

Pour rappel, nous avons écrit un article de blog très complet sur cette nouvelle législation. Et si vous voulez encore plus de détails sur le GDPR et son évolution depuis la Directive de Protection des données (DPD) existante, ne manquez pas de télécharger notre livre blanc.

Quels sont les points importants ?

Parmi les nombreuses exigences et les nombreux concepts du GDPR, je place les six suivants au sommet de ma liste de points importants :

• Notification de violation – Une nouvelle exigence absente de la DPD d’origine est que les entreprises devront informer les autorités concernées dans les 72 heures suivant la découverte d’une violation de données personnelles. Les personnes concernées devront également être informées, mais seulement si les données engendrent un « risque élevé pour leurs droits et libertés ».
• Évaluations d’impact sur la protection des données (DPIA) – Lorsque certaines données associées aux personnes concernées devront être traitées, les entreprises devront analyser les risques de confidentialité au préalable. Ceci constitue une nouvelle condition de la législation.
• Respect de la vie privée dès la conception – Le respect de la vie privée dès la conception (PbD) a toujours fait partie des réglementations de données de l’UE. Avec la nouvelle loi, ses principes de minimisation du recueil et de la rétention des données et du consentement des consommateurs au traitement de leurs données sont formalisés de manière plus explicite.
• Extraterritorialité – Le nouveau principe d’extraterritorialité du GDPR dit que même si une entreprise n’a aucune présence physique dans l’UE, mais recueille des données relatives à des personnes concernées européennes (par exemple par l’intermédiaire d’un site Web), toutes les exigences du GDPR s’appliquent. Autrement dit, la nouvelle loi s’étend à l’extérieur de l’UE. Cela affectera en particulier les entreprises de cybercommerce et autres activités liées au cloud.
• Droit à l’effacement et droit à l’oubli – Une condition de longue date de la DPD permet aux consommateurs de demander la suppression de leurs données. Le GDPR étend ce droit aux données publiées sur le Web. C’est le droit encore controversé à rester hors de la vue du public et « d’être oublié ».
• Amendes – Le GDPR comporte des pénalités à plusieurs niveaux qui porteront un sérieux coup aux finances du contrevenant. Les infractions les plus sérieuses méritent une amende de 4 % du revenu global d’une entreprise. Celles-ci peuvent inclure la violation des principes de base de la sécurité des données, en particulier des principes de PbD. Une amende moindre s’élevant jusqu’à 2 % du revenu global (ce qui est encore énorme) peut être infligée pour mauvaise tenue des enregistrements ou défaut de notification de l’autorité de surveillance et des personnes concernées à propos d’une violation. Cela transforme les oublis de notification de violation en infractions coûteuses.

La loi est complexe et la liste ci-dessus ne prétend pas constituer une synthèse complète de toutes les règles importantes. En tout cas, la plupart des experts en législation et en conformité conviendraient qu’une première étape sensée vers la conformité au GDPR consiste à effectuer un inventaire complet des données : nature des données stockées, emplacement, identité des personnes disposant d’un accès à ces données et droits d’accès courants.

Où avons-nous déjà entendu cela ?

Bien sûr, nous prêchons la sensibilisation à l’importance des données depuis un certain temps dans le blog de la Sécurité Interne. Cependant, avec le GDPR, ce n’est pas simplement une bonne idée. C’est une approche importante qui vous aidera à ne pas enfreindre la loi.