5 choses à savoir à propos du Règlement Général sur la Protection des Données (RGPD ou GDPR, General Data Protection Regulation)

Partager

Quels sont les changements en termes de protection des données européennes ?

La RGPD en résumé – Que faut-il savoir sur les changements en termes de protection des données européennes ?

Le Règlement Général sur la Protection des Données a été mis en œuvre pour harmoniser au sein de l’Europe les principes régissant la protection des données. La protection des données était jusqu’alors régie par la législation  de chacun des pays de l’UE, provoquant ainsi des différences considérables. Désormais, une seule loi s’appliquera uniformément à chaque Etat Membre de l’UE.

 

RGPD  ou Règlement Général sur la Protection des Données : encore un nouvel acronyme à mémoriser,  au risque de passer pour un ignare. De plus, ces quatre lettres semblent être inextricablement enracinées au plus profond du monde informatique. Grit Heinig a voulu approfondir en détail ce dossier et a étudié l’ensemble de la Directive Générale sur la Protection des Données (DGPD).

In fine, 5 points essentiels ressortent très clairement :

choses savoir propos Règlement Général sur Protection des Données (RGPD GDPR, General Data Protection Regulation)
Source : Symantec – Voir l’infographie complète.

 

1. Le nouveau règlement est déjà applicable

Il a été adopté en avril 2016 par le Parlement Européen et est entré en vigueur le 25 mai 2016, vingt jours après sa publication au Journal Officiel de l’Union Européenne. Mais ce qu’il faut noter, c’est que les sanctions ne seront appliquées que l’année prochaine, à partir du 25 mai 2018.

Il reste du temps, mais, au fur et à mesure que les droits et devoirs afférents à ce règlement deviennent plus prégnants, il est nécessaire de répondre à la question suivante : les systèmes d’information sont-ils adaptés à ces nouvelles règles ?

2. Le nouveau règlement est également applicable en dehors de l’UE

Alors que nous débattions autour de la nécessité d’inclure le RGPD au sein de notre offre commerciale, une collègue suisse nous précisait que cela ne la concernait pas. En effet, tout le monde sait que la Suisse ne fait pas partie de l’Union Européenne. Mais nous lui avons alors répondu que cette réglementation concernait les “citoyens de l’UE”.

La RGPD s’applique à l’ensemble des sociétés à l’échelle planétaire dès lors qu’elles utilisent et travaillent avec les données à caractère personnel des citoyens de l’UE. Pour s’y conformer, il pourrait être suffisant que les clients des entreprises remplissent simplement un formulaire envoyé sur le site web de l’entreprise.

Conclusion : Le RGPD concerne toutes les entreprises. A moins qu’elles ne soient capables d’affirmer qu’elles n’ont absolument aucune relation avec un citoyen quelconque de l’UE.

3. Le règlement porte sur le traitement et l’enregistrement des données à caractère personnel

Ceci peut paraître évident – et ça l’est en effet – mais la directive comporte 88 pages composées de 88 articles, chacun avec plusieurs paragraphes. Il est bon d’y regarder de plus près, même si l’on peut se contenter de lire les articles s’y rapportant qui paraissent régulièrement dans la presse informatique ou bien d’aller sur Google et d’accéder aux milliers de liens rattachés. Mais sommes-nous bien certains que ces articles ont pris en compte tous les aspects du texte de loi ? Et pouvons-nous affirmer connaître et maîtriser l’ensemble des mesures qu’il faudra mettre en œuvre ?

C’est pourquoi je tiens ici à exposer les passages que je considère essentiels :

  • Le traitement des données à caractère personnel doit être “adapté, pertinent et limité au strict nécessaire requis par leurs traitements.
  • La durée d’archivage des données à caractère personnel est limitée au strict minimum.
  • Les données à caractère personnel seront exactes et à jour.
  • Les données à caractère personnel seront protégées contre tout accès non autorisé, traitement illégal et pertes. Dans ce cas précis, le règlement mentionne l’utilisation de pseudonymes et de cryptage des données. De plus, la capacité à assurer « la disponibilité et la résilience constantes des systèmes et des services de traitement » joue un rôle important.

Je voudrais ici attirer l’attention sur le fait que les entreprises spécialisées dans les logiciels de sécurité proposent de nombreuses solutions et produits qui répondent parfaitement aux exigences de le RGPD. Par exemple, Data Loss Prevention  permet de détecter, surveiller, et protéger les données sensibles. En ce qui concerne le cryptage, je pense à des outils comme  Endpoint ou Desktop Email Encryption (encryptage de courriels). Des outils comme l’Advanced Threat Protection (ATP) ou la Control Compliance Suite facilitent la mise en œuvre du règlement.

Il est également nécessaire de nommer un Responsable de la protection des données  qui aura en charge de s’assurer de la conformité avec le RGPD et de la sécurité et de la protection des données à caractère personnel.

Toute personne concernée a le droit de recevoir une copie de ses données, de les rectifier, de les contingenter, et de les effacer.

4. Le règlement comporte des droits et des devoirs

Dans le cas où les systèmes d’information d’une entreprise ont subi une attaque et/ou en cas de violation de données à caractère personnel, celle-ci doit avertir si possible l’autorité de surveillance dans les 72 heures. Mais ce n’est pas tout : il faut également avertir l’ensemble des personnes concernées, et de préférence via un communiqué public. Mais quelle entreprise est prête à reconnaître de son propre chef qu’il y a eu en son sein un manquement grave à la sécurité, dû à une faille de son système ou provenant de ses propres employés ?

Car la question aujourd’hui n’est plus de savoir SI, mais QUAND une telle attaque se produira. Fort heureusement, il existe des solutions adaptées permettant de limiter le risque de propagation des dégâts.

5. Le règlement dispose d’un arsenal important de mesures en cas de non-conformité

Enfin, dernier élément et non des moindres : selon le règlement, des sanctions « effectives, proportionnées, et dissuasives » seront appliquées. En fonction de la nature de l’infraction, il pourra y avoir des sanctions pécuniaires d’un montant de 2% à 4% du chiffre d’affaires mondial, montant qui ne pourra cependant pas être inférieur à une fourchette de 10 à 20 millions d’euros, ce qui est très dissuasif.

En résumé, il ne faut pas prendre le RGDP à la légère. L’ignorer ou le sous-estimer serait faire preuve d’une extrême négligence, au risque de servir de cas d’école à la jurisprudence.
Maintenant que vous avez lu les cinq points essentiels et les explications relatives listées ci-dessus, êtes-vous encore sûr que l’environnement informatique de votre entreprise répond bien à ces exigences ? Si tel n’est pas le cas, n’hésitez pas à nous contacter. Vous pouvez également télécharger le livre blanc élaboré par Symantec.

Ce document explique en détail le contexte dans lequel s’inscrit le RGPD et décrit ses conséquences prévisibles et ses incidences directes. Comme nous l’avons mentionné, il existe de nombreux produits pouvant vous aider à mettre votre entreprise en règle vis-à-vis du RGPD. Nous pourrons vous aider à trouver la solution adaptée à votre IT.

choses savoir propos Règlement Général sur Protection des Données (RGPD GDPR, General Data Protection Regulation)

 

 

 

Un article de Grit Heinig, Global Business Development Manager Symantec chez COMPAREX

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *