Règlement Général sur la Protection des Données en Europe (RGPD)

Le RGPD & ses impacts
Votre entreprise & vos actions

TESTEZ VOTRE NIVEAU DE CONFORMITÉ EN SAVOIR PLUS

Êtes-vous en conformité avec le RGPD ?

Le 25 mai 2018, la nouvelle réglementation européenne en matière de protection des données est entrée en vigueur.

Le RGPD renforce la protection des données personnelles des citoyens européens. Il incite donc les sociétés à être vigilantes avec les informations qu’elles
possèdent et qu’elles exploitent. Toutes les entreprises (quelle que soit la taille) sont concernées.
Pour rappel, les amendes pour non-conformité peuvent aller jusqu’à 4% du chiffre d’affaires mondial de l’exercice précédent ou 20 millions d’euros.

Découvrez ou redécouvrez le règlement. N’héistez pas à visualiser le replay de notre webseminaire.

https://encryption.eset.com/fr/wp-content/uploads/sites/14/2016/08/calendrier.png

Pour en savoir plus

Téléchargez notre livre blanc RGPD

Laissez-nous vos coordonnées afin de recevoir toutes les informations pratiques concernant cette nouvelle réglementation et les impacts sur votre entreprise.
Nous vous recontacterons rapidement.

https://encryption.eset.com/fr/wp-content/uploads/sites/14/2016/08/guide_general_data_protection_regulation_fr_2.png

Test de conformité en ligne

Ce site est conçu pour vous aider à comprendre le RGPD, identifier les besoins et proposer des solutions.

Se conformer au RGPD, étape par étape

Les implications du RGPD sont complexes, nous avons donc divisé le processus de conformité en trois groupes de mesures qu’il faut considérer, eux-mêmes subdivisés en divers domaines d'explications plus détaillées. Cliquez sur les barres du diagramme ci-dessous pour examiner ces différentes zones à votre convenance.

+Résumé

Certains principes énoncés dans le RGPD sont une continuité de ceux énoncés dans la directive existante sur la protection des données, à savoir : l’impartialité, la légalité et la transparence, la limitation de l’objectif, la minimisation des données, la qualité des données, la sécurité, l’intégrité et la confidentialité.

Le RGPD établit un nouveau principe de responsabilité en désignant une personne en charge de démontrer le respect de ces principes. De plus, le RGPD introduit de nouveaux aspects dans la protection des données :

Légalité, impartialité et transparence : les données à caractère personnel doivent désormais être traitées de manière transparente vis-à-vis de la personne concernée.

Limitation de l’objectif : avec certaines réserves, l’archivage des données à caractère personnel dans le cadre de l’intérêt public ne sera pas considéré comme incompatible avec le traitement original.

Stockage : les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées et pour une durée ne dépassant pas celle nécessaire aux fins pour lesquelles elles sont traitées.

Responsabilité : le responsable du traitement devient responsable de la conformité aux principes et doit pouvoir le démontrer.

+Structure organisationnelle

Dans le cadre du RGPD, vous devez mettre en œuvre des mesures afin de réduire le risque de violation de ce règlement et de prouver que vous prenez en compte la protection des données. Parmi les mesures nécessaires, on peut citer : l’évaluation de l’impact sur la vie privée, les audits, la révision des politiques de sécurité, les enregistrements d’activité et (potentiellement) la nomination d’un Délégué à la Protection des Données (DPO).

 

Le RGPD introduit l’obligation pour certaines organisations de nommer un Délégué à la Protection des Données (DPO). Cette personne sera un employé ou un consultant externe.

Si vous êtes un marketeur avec une importante base de données clients, il vous faudra certainement nommer un DPO ; les autorités nationales fournissent des indications sur les personnes qualifiées.

Le DPO sera responsable du suivi de la conformité au RGPD, vous informera de vos obligations, vous indiquera quand et comment une évaluation sur l’impact sur la vie privée devra être effectuée et sera le point de contact pour les demandes des autorités nationales de protection des données et des particuliers.

La notion de « guichet unique » permet à une organisation établie dans plusieurs pays de l’Union Européenne de traiter qu’avec une seule autorité nationale de protection des données, bien que les règles pour déterminer quelle autorité doit assumer ce rôle et comment traiter les plaintes sont complexes dans certains cas.

+Processus, procédures et politiques

Le RGPD redéfinit la violation de données comme “une faille de sécurité conduisant à la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou traitées”.

Cette définition plus large qu’auparavant ne prend pas en considération le fait que cette violation créé un préjudice à l’individu. Si vous êtes victime d’une faille de sécurité, vous devez informer l’autorité nationale de protection des données immédiatement, ou au plus tard dans les 72h après sa découverte.

Toutefois, vous êtes dispensé de notifier les personnes concernées si des mesures techniques et organisationnelles appropriées pour la protection des données ont été mises en place – le chiffrement, par exemple.

Le respect du RGPD passe également par la notion de « privacy by design », soit la conception d’un nouveau processus ou produit en prenant en compte les exigences de confidentialité dès le départ. Cette approche, bien que précédemment fortement conseillée, est maintenant une exigence explicite du règlement.

La réalisation d’une étude d’impact à identifier et minimiser les risques de non-conformité.

Le RGPD impose la réalisation d’une telle étude. Les responsables du traitement doivent veiller à ce qu’elle ait été exécutée avant de démarrer toute activité de traitement « à haut risque »

Si vous êtes implantés à l’international, les règles et processus de transfert des données vers des juridictions extracommunautaires sont considérables. Les pénalités pour non-conformité ou transfert de données à des juridictions non reconnues (par la Commission Européenne) sont beaucoup plus sévères dans le cadre du RGPD.

+Sensibilisation à la sécurité des données

Il est temps d’informer vos exmployés des besoins de conformité liés au RGPD, de planifier la révision des procédures pour faire face aux nouvelles dispositions en matière de transparence et de droits individuels du RGPD. Cela pourrait avoir des implications financières, informatiques et de formation importantes.

+Responsabilité - mesures techniques

Le RGPD rend les responsables du traitement en charge de la démonstration de la conformité avec ses principes de protection des données. Vous devez donc vous assurer que vous avez des politiques claires en place pour prouver que vous répondez aux normes requises en surveillant, examinant et évaluant régulièrement vos procédures de traitement des données, en établissant des garanties et en veillant à ce que votre personnel soit formé pour comprendre ces obligations. Soyez prêts à le démontrer à tout moment, lorsque votre autorité chargée de la protection des données en fait la demande.

+Violation des données - mesures techniques

Vous devez vous prémunir des failles de sécurité des données (définies comme « une faille de sécurité conduisant à la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou traitées ») par la mise en place de politiques claires et de procédures éprouvées afin de vous assurer le fait de pouvoir réagir et notifier toute violation des données, le cas échéant.

Le fait de ne pas signaler une infraction lorsque cela est demandé peut entraîner une amende en complément de l’amende pour la violation elle-même.

+Assurer les droits des personnes concernées - techniquement

Le RGPD renforce les droits des personnes, en ajoutant par exemple le droit d’exiger des informations sur les données traitées, l’accès aux données dans certaines conditions et la correction des données erronnées.

L’un des principaux objectifs du RGPD est de renforcer les droits des individus. Par conséquent, les règles relatives au traitement des demandes d’accès changent. Vos procédures doivent donc être mises à jour pour réfléter cela.

Le droit à l’oubli (« effacement » dans la terminologie du RGPD) permet aux particuliers d’exiger des responsables du traitement qu’ils effacent leurs données personnels sans retard excessif dans certaines situations. Par exemple, en cas de problme avec la légalité sous-jacente du traitement ou lorsqu’ils retirent leur consentement.

Les tierces personnes avec qui vous partagez les données personnelles sont également soumises à ces règles.

 

Le RGPD définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant en l’utilisation de données pour évaluer certains aspects relatifs à une personne physique – notamment pour analyser ou prévoir certains aspects relatifs à la performance physique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, l’emplacement ou le mouvement ». Cependant, il existe une certaine ambiguïte quant à la manière dont sera appliqué le droit des personnes concernées de ne pas être soumis à des décisions basées.

Le RGPD introduit un nouveau droit à la portabilité des données, qui va au-delà du droit des individus à exiger que les données leur soient fournies sous une forme électronique couramment utilisée et exige que le responsable du traitement fournisse des informations sous une forme structurée, couramment utilisée et lisible par machine.

 

Il y a certaines limites à cette règle. Par exemple, elle ne s’applique qu’aux données personnelles traitées par des moyens automatisés.

Dans l’objectif de renforcer les droits des particuliers, la Commission Européenne accorde également un droit de restreindre certains traitements et un droit d’opposition aux données personnelles traitées et/ou profilées à des fins de marketing direct.

Après opposition d’un utilisateur, ses données ne doivent plus être traitées pour la commercialisation directe et ses coordonnées doivent être ajoutées à une liste interne de suppression.

Les organisations doivent informer les individus de leur droit à s’opposer aux traitements de leurs données d’une manière explicite et distincte des autres informations qu’elles doivent également fournir à ces personnes.

+Communiquer les renseignements personnels (consentements, avis de traitement équitable)

Vous devrez peut-être revoir la façon dont vous cherchez, obtenez et enregistrez les consentements. Le consentement d’une personne concernée par le traitement des données à caractère personnel doit être aussi facile à retirer qu’à donner et doit également être une indication positive de l’acceptation des données personnelles traitées – il ne peut être déduit du silence, des cases pré-cochées ou de l’inactivité.

 

Dans l’objectif de renforcer les droits des particuliers, la Commission Européenne accorde également un droit de restreindre certains traitements et un droit d’opposition aux données personnelles traitées et/ou profilées à des fins de marketing direct.

Après opposition d’un utilisateur, ses données ne doivent plus être traitées pour la commercialisation directe et ses coordonnées doivent être ajoutées à une liste interne de suppression. Les organisations doivent informer les individus de leur droit à s’opposer aux traitements de leurs données d’une manière explicite et distincte des autres informations qu’elles doivent également fournir à ces personnes.

Le RGPD augmentera probablement le nombre de choses pour lesquelles vous devez informer les personnes concernées. Par exemple, la solution utilisée pour le traitement des données, le temps de conservation des données et leur droit à porter plainte auprès de l’autorité nationale de protection des données s’ils pensent qu’il y a un problème avec la façon dont vous manipulez leurs données. Le RGPD exige que ces informations soient fournies dans un langage clair et concis.

+Sécurité des données (intégrité et confidentialité)

Le RGPD établit des principes de sécurité des données similaires à ceux de la directive actuelle, notamment : l’impartialité, la légalité et la transparence, la limitation de l’objectif, la minimisation des données, la qualité des données, la sécurité, l’intégrité et la confidentialité.

Vous devez vous assurer que les données à caractère personnel sont traitées de manière à assurer leur sécurité, y compris la protection contre le traitement non autorisé ou illégal, et contre les pertes, destructions ou dommages accidentels : « L’organisation et tout prestataire de services externe mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité approprié face aux risques ».

Le règlement propose un certain nombre de mesures de sécurité qui peuvent être utilisées pour assurer la protection des données ainsi que la pseudonymisation et le chiffrement des données personnelles ; la capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services traitant des données à caractère personnel ; la possibilité de rétablir la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique. Le règlement propose également un processus permettant de tester et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement des données à caractère personnel.

Le RGPD désigne le chiffrement comme une approche pouvant aider à assurer le respect de certaines de ses obligations. Extraits du règlement :

Article 32 – Sécurité du traitement

1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : (a) la pseudonymisation et le chiffrement des données à caractère personnel […] ”

Article 34 – Communication à la personne concernée d’une violation de données à caractère personnel

“33. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie : a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement […] ”

+Documentation et audit des données

Vous devez documenter les données personnelles que vous détenez, d’où elles proviennent et avec qui vous les partagez.

Si vous disposez de données personnelles inexactes et qu’elles ont été partagées avec une autre organisation, le RGPD exige que vous informiez l’autre organisation de l’inexactitude afin qu’elle puisse corriger ses propres enregistrements. Pour ce fait, il peut être nécessaire d’effectuer une vérification de l’information dans votre oriagnisation ou dans des secteurs d’activité particuliers. Cela vous aider également à respecter le principe de responsabilité du RGPD.

Dans le cadre du RGPD, vous devez examiner la façon dont vous traitez les données personnelles et identifier la solution sur laquelle vous effectuez ces traitements et documenter les processus.

Cette étape est nécessaire car les droits de certaines personnes seront modifiés par le RGPD en fonction de la solution utilisée pour le traitement de leurs données personnelles. Un exemple, les personnes auront un droit plus fort si vous utilisez le consentement comme base légale pour le traitement. Cependant, le consentement n’est qu’une des nombreuses façons de légitimer l’activité de transformation et peut ne pas être le meilleur (car il peut être retiré).

Les informations présentes sur cette page web ne constituent pas un avis juridique et les utilisateurs ne doivent pas se fier à leur exactitude lorsqu'ils prennent des décisions financières ou commerciales. ESET ne sera pas responsable des conséquences résultant de ces actions. Il vous faudra toujours l’avis d’un conseiller juridique indépendant.

Participez à nos web-séminaires

La multiplication des systèmes d’exploitation, plateformes et équipements rend la sécurité des entreprises plus complexe, et les cybercriminels l’ont bien compris. Quelle que soit la taille de votre entreprise, il est aujourd’hui indispensable de protéger vos postes de travail, serveurs, flottes mobiles ainsi que vos données confidentielles et sensibles.

Près de 80% des entreprises ne sont pas prêtes pour le RGPD

Une étude récente menée par le cabinet d’analyse indépendant IDC montre que la plupart des PME européennes ne sont pas préparées au RGPD. IDC a interrogé les professionnels de l’IT de plus de 700 entreprises. Les résultats montrent que la nouvelle loi est encore peu intégrée et peu comprise.

Pour plus d’informations et pour en savoir plus sur le RGPD, téléchargez le rapport complet d’IDC grâce à ESET :

Compréhension des implications du RGPD

25% aucune | 52% limitée | 22% complète

En continuant votre navigation sur ce site, vous acceptez l'utilisation de cookies destinés à vous proposer une expérience personnalisée.

OK