Règlement Général sur la Protection des Données en Europe (RGPD)

Comment le RGPD va affecter les règles internes de sécurité de votre entreprise

TESTEZ VOTRE NIVEAU DE CONFORMITÉ TÉLÉCHARGER NOTRE GUIDE

Êtes-vous prêt pour le RGPD ?

En Mai 2018, la nouvelle réglementation Européenne sur la protection des données va entrer en vigueur.

Si cette réglementation vous concerne, vous devez dès à présent envisager votre mise en conformité. Ce site est conçu pour vous aider à bien comprendre le Règlement Général sur la Protection des Données (RGPD), les exigences qui en découlent et les solutions qui s’offrent à vous. Le RGPD affectera toutes les organisations européennes qui traitent des données personnelles quelles qu’elles soient. Cela concernera également toute entreprise ayant des rapports commerciaux avec l’Union Européenne. La règlementation est complexe et les amendes en cas de non-conformité sont importantes (jusqu’à 20 millions d’euros/4% du CA annuel).

Dans tous les cas, vous êtes au bon endroit pour en apprendre plus !

https://encryption.eset.com/be-fr/wp-content/uploads/sites/20/2016/11/calendrier.png

Obtenez votre guide gratuit

ESET et ses conseillers juridiques ont rédigé ce guide avec une grande attention afin d’examiner en profondeur le nouveau réglement de l’UE et en quoi il peut impacter votre entreprise.

https://encryption.eset.com/be-fr/wp-content/uploads/sites/20/2016/11/guide_general_data_protection_regulation.png

Test de conformité en ligne

Ce site est conçu pour vous aider à comprendre le RGPD, ses exigences et a vous apporter les solutions pour y répondre.

S’adapter au RGPD pas à pas

Les implications du RGPD sont complexes. Nous avons donc décidé de diviser le processus de mise aux normes en trois groupes de mesures. Nous avons ensuite subdivisé ces groupes en plusieurs sous-catégories plus détaillées. Vous n’avez qu’à cliquer sur les barres du diagramme ci-dessous pour accéder au sujet qui vous intéresse.

+Sommaire

Bon nombre des principes mis en avant dans le RGPD sont dans la continuité de ceux déjà présents dans la Directive 95/46/CE : équité, légitimité, transparence, finalité restreinte, minimisation des données, qualité des données, sécurité, intégrité et confidentialité.

Le RGPD introduit un nouveau principe de responsabilité en mettant les responsables du traitement en charge de la conformité et des principes de la loi. Le RGPD introduit également des nouveaux fondements à ceux déjà existants :

Légitimité, équité et transparence – Les données personnelles doivent maintenant être traitées de manière transparente et en relation avec la personne concernée.

Finalité restreinte – Avec quelques réserves, l’archivage de données à caractère personnel dans l’intérêt public pourra être compatible avec le traitement des données.

Stockage – Les données à caractère personnel doivent être conservées sous une forme permettant d’identifier les personnes concernées pour une durée qui ne dépasse pas celle nécessaire aux fins pour lesquelles les données à caractère personnel sont traitées.

Responsabilité – Le responsable du traitement devient responsable de la conformité et doit être capable de pouvoir assurer et démontrer cette dernière.

+Structure organisationnelle requise

Le RGPD impose l’implémentation de nombreuses mesures afin de réduire les risques de violation et de vous permettre de prouver que vous prenez la gouvernance des données au sérieux. Parmi les mesures nécessaires en termes de responsabilité se trouvent : l’évaluation de l’impact sur la vie privée (EIVP), les audits, les examens de politiques, les rapports d’activité et (éventuellement) la désignation d’un délégué à la protection des données (DPD).

Le RGPD rend obligatoire la désignation d’un DPD pour certaines organisations. Les organisations doivent désigner un membre du personnel ou un consultant extérieur qui endossera le rôle de DPD.

Si vous êtes un distributeur ayant une base de données clients importante, vous aurez très probablement besoin de nommer un DPD. Les instances nationales de protection des données devront vous fournir de l’aide sur la manière de choisir le DPD.

Votre DPD sera responsable de la surveillance et de la conformité avec le RGPD, il devra également fournir des conseils sur les diverses obligations, sur la manière de mener les évaluations d’impact sur la vie privée et être le point de contact privilégié des individus et des autorités nationales de protection des données.

Le concept de guichet unique permet aux entreprises présentes dans différents pays européens de ne traiter qu’avec une instance nationale de protection des données . Cependant, les règles qui déterminent quelle instance doit endosser ce rôle peuvent être complexes dans certains cas.

+Processus, procédures et autorisations

Le RGPD redéfinit la fuite des données comme étant “une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises,
conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données”.

Cette large définition ne prend pas en considération les éventuels dommages subis par les individus. Si vous êtes victime d’une violation de sécurité, vous devrez en informer immédiatement l’autorité de contrôle (ou dans un délai inférieur à 72 heures).

Cependant, vous êtes dispensé d’en informer les personnes concernées dans le cas où les mesures techniques et organisationnelles adéquates, comme le chiffrement, ont été prises pour protéger les données à caractère personnel.

Une part importante de la mise en conformité avec le RGPD est la “privacy by design” qui correspond au fait d’ intégrer la protection des données aux nouveaux processus ou produits et ce, dès leur conception. Avec le RGPD, cette approche devient explicitement obligatoire.

Une évaluation d’impact sur la vie privée (EIVP) a pour but d’identifier les risques de non-conformité et de les corriger.

Le RGPD rend l’EIVP obligatoire. Les responsables du traitement doivent s’assurer qu’un EIVP a été mené avant d’entreprendre toute activité de traitement qui présente des “risques importants”.

Si votre activité a une portée internationale, les règles et les processus concernant les transferts de données personnelles vers des organisations externes à l’UE seront à étudier avec beaucoup d’attention. Les sanctions en cas de non conformité lors des transferts sont beaucoup plus importantes dans le cadre du RGPD.

+Prendre conscience de la sécurité des données

Il est temps de présenter le RGPD et ses obligations à vos employés. Vous devriez déjà commencer à planifier la réévaluation et la modification de vos procédures internes de manière à vous conformer au RGPD et à ses principes. Ces dispositions peuvent avoir des répercussions importantes sur le plan technique, financier ou sur celui de la formation.

+Résponsabilités - Mesures techniques

Les  responsables du traitement doivent prendre en charge la démonstration de la conformité en adéquation avec le RGPD. Il faut donc vous assurer que vous avez des politiques clairement établies. Ceci vous permet de prouver votre conformité avec les standards. Les contrôles réguliers, l’évaluation des processus de traitement, l’implémentation de mesures de protection, et la formation de votre personnel sont autant de mesures vous permettant d’y parvenir. Soyez également prêt à démontrer votre conformité à n’importe quel moment, dès que votre autorité de contrôle le demande.

+Violation des données - Mesures techniques

Vous devez vous préparer aux violations de données (celle pouvant entraîner “de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données”) en établissant des règles et en testant les procédures en place afin d’être prêt à réagir rapidement et à informer l’autorité concernée.

Une violation de données peut entraîner une amende. De même, vous êtes passible d’une amende si vous manquez d’informer votre autorité de référence en cas d’une violation de données.

+Assurer les droits des personnes concernées - Mesures techniques

Le RGPD renforce les droits des personnes concernées . Par exemple, celles-ci ont maintenant le droit d’être informées sur la nature des données traitées, d’accéder à leurs données dans certaines circonstances ainsi que de corriger les données qui seraient fausses.

L’un des principaux buts du RGPD est de renforcer les droits des individus. Les règles concernant l’accessibilité des données aux personnes concernées vont donc évoluer. Vous êtes tenu de mettre à jour vos processus internes afin de vous conformer à ces changements.

Dans la plupart des cas, il ne vous sera pas possible de facturer une demande d’accès. Vous n’aurez également qu’un mois pour y répondre.

Le droit à l’oubli (le terme ‘effacement’ est utilisé dans le texte de loi) permet aux individus de demander aux responsables du traitement de détruire leurs données personnelles et dans certaines situations, sans aucun délai. Par exemple, lorsqu’un problème de légitimité sous-jacente est suspecté ou lorsque les personnes concernées retirent leur consentement.

Les tiers avec lesquels les données personnelles sont partagées sont également soumis à ces règles.

Le RGPD définit le profilage comme “toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique”. Cependant, il existe des ambiguïtés concernant la manière dont le droit des personnes concernées sera appliqué face au profilage.

Le RGPD introduit un nouveau droit à la portabilité des données. Vous êtes dorénavant dans l’obligation de fournir les données personnelles aux personnes concernées qui le demandent et ce, dans un format répandu et lisible.

Il y a des limites à cette règle. Elle n’est applicable qu’aux données à caractère personnel traitées automatiquement, par exemple.

La Commission Européenne accorde aux individus le droit de restreindre certains traitements de données et le droit de contester le traitement de données à caractère personnel à des fins marketing, comme le profilage utilisé dans une démarche de marketing direct.

Une fois la contestation émise, les données ne doivent plus être traitées à des fins marketing et les coordonnées de la personne concernées doivent être incluses dans un fichier de suppression en interne.

Les organisations doivent informer explicitement les individus sur leur droit de contester le traitement de leurs données.

+Traitement des informations personnelles (consentement et notifications préalables)

Vous devrez peut-être revoir la manière dont vous cherchez, obtenez et enregistrez le consentement des personnes concernées. Le consentement d’un individu pour le traitement de ses informations personnelles doit être facilement annulable et ne peut pas être donné tacitement, via des boîtes pré-cochées ou résulter de l’inactivité prétendue de l’individu.

La Commission Européenne accorde aux individus le droit de restreindre certains traitements de données et le droit de contester le traitement de données à caractère personnel à des fins marketing, comme le profilage utilisé dans une démarche de marketing direct

Une fois la contestation émise, les données ne doivent plus être traitées à des fins marketing et les coordonnées de la personne concernées doivent être incluses dans un fichier de suppression en interne. Les organisations doivent informer explicitement les individus sur leur droit de contester le traitement des données.

Le RGPD va très probablement vous amener à devoir échanger davantage avec personnes concernées . Vous allez, par exemple, devoir communiquer votre base juridique, vos périodes de rétention de données et leur droit de réclamation envers l’autorité nationale de protection. Le RGPD exige d’ailleurs que ce type d’information soit transmis de manière claire et concise.

+Sécurité des données (intégrité et confidentialité)

Les principes du RGPD sont dans la continuité de ceux déjà présents dans la Directive 95/46/CE : équité, légitimité, transparence, finalité restreinte, minimisation des données, qualité des données, sécurité, intégrité et confidentialité.

Vous devez vous assurer que les données à caractère personnel sont traitées de manière à garantir leur sécurité. Cela inclut la protection contre le traitement non-autorisé ou illégal, contre les pertes accidentelles ou les dégâts: “Toute organisation ou sous-traitant doit implémenter des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de protection en adéquation avec le risque encouru”.

La régulation suggère plusieurs mesures de sécurité qui peuvent être utilisées afin de protéger les données. Celles-ci incluent : la pseudonymisation et le chiffrement des données à caractère personnel ; la capacité à assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services traitant des données à caractère personnel ; la capacité à rétablir la disponibilité et l’accès aux données personnelles dans un délai court en cas d’incident technique ou physique ; et le fait de conduire des évaluations et des tests réguliers visant à mesurer l’efficacité des mesures techniques et organisationnelles.

Le RGPD présente le chiffrement comme un moyen de se conformer aux différentes obligations. La régulation stipule ainsi :

Article 32 – Sécurité du traitement

“1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant responsable du traitement mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: (a) la pseudonymisation et le chiffrement des données à caractère personnel […]”

Article 34 – Communication à la personne concernée d’une violation de données à caractère personnel

“3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie : (a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement […]”

+Audits, base légale et documentation relative aux données

Vous devez documenter quelle est la nature des données personnelles que vous détenez, leur provenance et les tiers avec lesquels vous les partagez.

Si vous détenez des données personnelles imprécises et que vous les partagez avec une organisation tierce, vous avez l’obligation d’informer ce tiers de leur inexactitude afin que ce dernier puisse corriger les informations qu’ils détient. Pour ce faire, vous serez susceptible de mener un audit sur les informations de votre entreprise ou sur certaines procédures commerciales. Ceci vous aidera également à vous conformer au principe de responsabilité du RGPD.

Dans le cadre du RGPD, vous devez examiner comment vous traitez les données personnelles et identifier la base juridique sur laquelle vous effectuez le traitement, vous devez également documenter ces processus.

Ceci est nécessaire car les droits de certains individus peuvent être modifiés par le RGPD en fonction de la base juridique utilisée. Par exemple, si vous utilisez le consentement comme base juridique, les individus auront plus de droits vis-à-vis de la suppression de leurs données. Cependant, le consentement n’est qu’une des nombreuses manière de légitimer le traitement et n’est pas forcément la meilleure puisqu’il peut être révoqué.

Les informations présentées sur cette page Web ne constituent pas un avis juridique et les utilisateurs ne devraient pas se fier à leur exactitude lors de la prise de décisions financières ou commerciales. ESET se dégage de toutes responsabilités des résultats de telles actions. Nous conseillons de toujours faire appel à un conseiller juridique indépendant.

Participez à nos Webcasts sur le RGPD

Échangez avec nos experts sur la manière dont le nouveau Règlement Général sur la Protection des Données affectera votre entreprise. ESET propose des webcasts expliquant les enjeux du RGPD. Ces Webcasts sont gratuits : il vous suffit de vous inscrire ci-dessous et nous vous inviterons à participer au prochain évènement.

Près de 80% des entreprises ne sont pas prêtes pour le RGPD

Une étude récente menée par le cabinet d’analyse indépendant IDC montre que la plupart des PME Européennes ne sont pas préparées au RGPD. IDC a interrogé les professionnels de l’IT de plus de 700 entreprises. Les résultats montrent que la nouvelle loi est encore peu intégrée et peu comprise.

Pour plus d’informations et pour en savoir plus sur le RGPD, téléchargez le rapport complet d’IDC grâce à ESET :

Compréhension des implications du RGPD

25% aucune | 52% limitée | 22% complète

Nous utilisons des cookies pour vous garantir la meilleure expérience utilisateur sur notre site web. En savoir plus.

OK