Quels sont les enjeux de la Protection des Données - Et comment ESET peut vous aider

Le RGPD rend obligatoire la désignation d’un DPD pour certaines organisations. Les organisations doivent désigner un membre du personnel ou un consultant extérieur qui endossera le rôle de DPD.

Si vous êtes un distributeur ayant une base de données clients importante, vous aurez très probablement besoin de nommer un DPD. Les instances nationales de protection des données devront vous fournir de l’aide sur la manière de choisir le DPD.

Votre DPD sera responsable de la surveillance et de la conformité avec le RGPD, il devra également fournir des conseils sur les diverses obligations, sur la manière de mener les évaluations d’impact sur la vie privée et être le point de contact privilégié des individus et des autorités nationales de protection des données.

Le concept de guichet unique permet aux entreprises présentes dans différents pays européens de ne traiter qu’avec une instance nationale de protection des données × Selon le RGPD, une autorité chargée de la protection des données (Data Protection authority ou DPA en anglais) est "une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51". Le concept de “guichet unique” permet aux entreprises basées dans plusieurs Etats Membres de n’avoir à traiter qu’avec une seule autorité - celle de l’Etat Membre dans lequel se trouve le siège social (d’autres autorités locales peuvent néanmoins toujours avoir un rôle juridique). . Cependant, les règles qui déterminent quelle instance doit endosser ce rôle peuvent être complexes dans certains cas.

Le RGPD redéfinit la fuite des données comme étant “une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises,
conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données”.

Cette large définition ne prend pas en considération les éventuels dommages subis par les individus. Si vous êtes victime d’une violation de sécurité, vous devrez en informer immédiatement l’autorité de contrôle (ou dans un délai inférieur à 72 heures).

Cependant, vous êtes dispensé d’en informer les personnes concernées dans le cas où les mesures techniques et organisationnelles adéquates, comme le chiffrement, ont été prises pour protéger les données à caractère personnel.

Une part importante de la mise en conformité avec le RGPD est la “privacy by design” qui correspond au fait d’ intégrer la protection des données aux nouveaux processus ou produits et ce, dès leur conception. Avec le RGPD, cette approche devient explicitement obligatoire.

Une évaluation d’impact sur la vie privée (EIVP) a pour but d’identifier les risques de non-conformité et de les corriger.

Le RGPD rend l’EIVP obligatoire. Les responsables du traitement × Le responsable du traitement est une personne ou une entité qui détermine seul ou à plusieurs les buts et moyens relatifs au traitement des données. Le RGPD définit le responsable du traitement comme "la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre". doivent s’assurer qu’un EIVP a été mené avant d’entreprendre toute activité de traitement qui présente des “risques importants”.

Si votre activité a une portée internationale, les règles et les processus concernant les transferts de données personnelles × Le transfert de données personnelles vers des pays externes à l’Espace Économique Européen ou vers des organismes internationaux est sujet à de nombreuses restrictions. Celles-ci sont consultables dans le chapitre V du GDPR. Comme pour la directive existante, les données n’ont pas besoin d’être transportées physiquement pour être transférées. Ainsi des données hébergées dans un endroit différent correspond à un transfert au regard du RGPD.Le RGPD définit le traitement transfrontalier, soit :
"(a) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements
dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou (b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres." vers des organisations externes à l’UE seront à étudier avec beaucoup d’attention. Les sanctions en cas de non conformité lors des transferts sont beaucoup plus importantes dans le cadre du RGPD.

Il est temps de présenter le RGPD et ses obligations à vos employés. Vous devriez déjà commencer à planifier la réévaluation et la modification de vos procédures internes de manière à vous conformer au RGPD et à ses principes. Ces dispositions peuvent avoir des répercussions importantes sur le plan technique, financier ou sur celui de la formation.

L’un des principaux buts du RGPD est de renforcer les droits des individus. Les règles concernant l’accessibilité des données aux personnes concernées vont donc évoluer. Vous êtes tenu de mettre à jour vos processus internes afin de vous conformer à ces changements.

Dans la plupart des cas, il ne vous sera pas possible de facturer une demande d’accès. Vous n’aurez également qu’un mois pour y répondre.

Le droit à l’oubli (le terme ‘effacement’ est utilisé dans le texte de loi) permet aux individus de demander aux responsables du traitement × Le responsable du traitement est une personne ou une entité qui détermine seul ou à plusieurs les buts et moyens relatifs au traitement des données. Le RGPD définit le responsable du traitement comme "la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre". de détruire leurs données personnelles et dans certaines situations, sans aucun délai. Par exemple, lorsqu’un problème de légitimité sous-jacente est suspecté ou lorsque les personnes concernées retirent leur consentement.

Les tiers avec lesquels les données personnelles sont partagées sont également soumis à ces règles.

Le RGPD définit le profilage comme “toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique”. Cependant, il existe des ambiguïtés concernant la manière dont le droit des personnes concernées sera appliqué face au profilage.

Le RGPD introduit un nouveau droit à la portabilité des données. Vous êtes dorénavant dans l’obligation de fournir les données personnelles aux personnes concernées qui le demandent et ce, dans un format répandu et lisible.

Il y a des limites à cette règle. Elle n’est applicable qu’aux données à caractère personnel traitées automatiquement, par exemple.

La Commission Européenne accorde aux individus le droit de restreindre certains traitements de données et le droit de contester le traitement de données à caractère personnel à des fins marketing, comme le profilage utilisé dans une démarche de marketing direct.

Une fois la contestation émise, les données ne doivent plus être traitées à des fins marketing et les coordonnées de la personne concernées doivent être incluses dans un fichier de suppression en interne.

Les organisations doivent informer explicitement les individus sur leur droit de contester le traitement de leurs données.

Vous devrez peut-être revoir la manière dont vous cherchez, obtenez et enregistrez le consentement × Le RGPD définit le consentement de la personne concernée comme “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement”. des personnes concernées. Le consentement d’un individu pour le traitement de ses informations personnelles doit être facilement annulable et ne peut pas être donné tacitement, via des boîtes pré-cochées ou résulter de l’inactivité prétendue de l’individu.

La Commission Européenne accorde aux individus le droit de restreindre certains traitements de données et le droit de contester le traitement de données à caractère personnel à des fins marketing, comme le profilage utilisé dans une démarche de marketing direct

Une fois la contestation émise, les données ne doivent plus être traitées à des fins marketing et les coordonnées de la personne concernées doivent être incluses dans un fichier de suppression en interne. Les organisations doivent informer explicitement les individus sur leur droit de contester le traitement des données.

Le RGPD va très probablement vous amener à devoir échanger davantage avec personnes concernées × Une personne concernée est un individu identifié ou identifiable directement ou indirectement.Pour le RGPD, une personne concernée est définie comme "une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou par un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale". . Vous allez, par exemple, devoir communiquer votre base juridique, vos périodes de rétention de données et leur droit de réclamation envers l’autorité nationale de protection. Le RGPD exige d’ailleurs que ce type d’information soit transmis de manière claire et concise.

Le RGPD présente le chiffrement comme un moyen de se conformer aux différentes obligations. La régulation stipule ainsi :

Article 32 – Sécurité du traitement

“1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement × Le responsable du traitement est une personne ou une entité qui détermine seul ou à plusieurs les buts et moyens relatifs au traitement des données. Le RGPD définit le responsable du traitement comme "la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre". et le sous-traitant responsable du traitement × Un sous-traitant est l’entité qui effectue le traitement des données sur ordre du responsable du traitement.Le RGPD définit le sous-traitant comme étant "la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement". Le responsable du traitement est la personne ou l’entité qui détermine seul ou à plusieurs les buts et moyens relatifs au traitement des données. mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: (a) la pseudonymisation et le chiffrement des données à caractère personnel […]”

Article 34 – Communication à la personne concernée d’une violation de données à caractère personnel

“3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie : (a) le responsable du traitement × Le responsable du traitement est une personne ou une entité qui détermine seul ou à plusieurs les buts et moyens relatifs au traitement des données. Le RGPD définit le responsable du traitement comme "la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre". a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement […]”

Vous devez documenter quelle est la nature des données personnelles que vous détenez, leur provenance et les tiers avec lesquels vous les partagez.

Si vous détenez des données personnelles imprécises et que vous les partagez avec une organisation tierce, vous avez l’obligation d’informer ce tiers de leur inexactitude afin que ce dernier puisse corriger les informations qu’ils détient. Pour ce faire, vous serez susceptible de mener un audit sur les informations de votre entreprise ou sur certaines procédures commerciales. Ceci vous aidera également à vous conformer au principe de responsabilité du RGPD.

Dans le cadre du RGPD, vous devez examiner comment vous traitez les données personnelles et identifier la base juridique sur laquelle vous effectuez le traitement, vous devez également documenter ces processus.

Ceci est nécessaire car les droits de certains individus peuvent être modifiés par le RGPD en fonction de la base juridique utilisée. Par exemple, si vous utilisez le consentement comme base juridique, les individus auront plus de droits vis-à-vis de la suppression de leurs données. Cependant, le consentement n’est qu’une des nombreuses manière de légitimer le traitement et n’est pas forcément la meilleure puisqu’il peut être révoqué.