Un peu de règles dans les données personnelles européennes

1.   Mise en perspective

Aujourd’hui, il y a de plus en plus de données personnelles collectées par les entreprises chaque jour, elles sont de plus en plus mobiles et stockées dans des conditions diverses, mais trop souvent mal sécurisées. L’heure de mettre de l’ordre dans tout ce fouillis est enfin arrivée pour l’Union Européenne.

 

2.   Situation législative

Jusqu’à présent, la protection des données personnelles était soumise à une directive de 1995 interprétée de manière différente dans chaque pays signataire de l’Union Européenne (UE). Afin d’éviter les incohérences entre les Etats, l’UE a décidé de cadrer la protection des données personnelles avec un règlement uniformisé (l’un des plus longs jamais édicté par l’UE) à travers les 28 Etats membres : la GDPR (General Data Protection Regulation).

A partir du 28 Avril 2018, tout organisme traitant des données personnelles de citoyens européens, ainsi que des résidents de l’UE, devra s’y conformer, sous peine d’une amende pouvant aller jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaire mondial (la somme la plus élevée étant retenue).

Chaque pays disposera d’une unique autorité de contrôle (en France la CNIL) qui se coordonnera avec celles des autres pays membres ; et afin de simplifier les actions menées, les entreprises disposeront d’un guichet d’échange unique représenté par l’autorité du pays dans lequel elle a son établissement principal au sein de l’UE.

Des délégués à la protection des données (DPO), qui remplaceront les CILs (Correspondants Informatique et Libertés) en France,  devront être mis en place par les organismes qui sont amenés à traiter des données personnelles. Ils auront pour mission de veiller à la conformité de l’entreprise et de servir d’interlocuteur principal entre l’organisme de contrôle et les responsables de l’organisation. Ils devront se justifier d’un niveau minimum de connaissances des textes communautaires dans le domaine de la protection des données personnelles.

 

3.   Gouvernance des données

La GDPR fixe des règles pour les éléments clés du cycle de vie d’une donnée : 

GDPR Cycle de vie donnée

 Tous ces éléments doivent être appliqués à toutes les données personnelles, y compris celles collectées avant la mise en application de la GDPR.

En cas de violation de données à caractère personnel, le responsable du traitement doit notifier celle-ci auprès de l’autorité de contrôle sous 72h, mais aussi les individus concernés, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Il est à noter que les organisations seront tenues de garder le contrôle sur les informations à caractère personnel qu’elles possèdent. Elles devront donc, pour ces données, appliquer selon les besoins :

  • Une pseudonymisation (remplacement du nom par un pseudonyme pour supprimer le caractère nominatif de la donnée) et un chiffrement
  • Des moyens permettant de garantir confidentialité, intégrité, disponibilité, et résilience des structures de traitement
  • Des moyens de reprise d’activité dans les plus brefs délais
  • Des audits réguliers des mesures de sécurité du traitement

 

4.   Nos recommandations

Dans l’optique d’une bonne mise en application de la GDPR d’ici 2018, Beijaflore recommande les étapes suivantes :

GDPR Guidelines

 5.   Le mot de la fin

Il est désormais clair que la mise en conformité vis-à-vis de la GDPR aura des impacts important sur les métiers et les SI des entreprises. Les entreprises ont maintenant moins de 2 ans pour se transformer et se différencier. Rendez-vous le 25 mai 2018 pour connaître le résultat !

 —————————

Glossaire

  • APT : Advanced Persistent Threat, piratage informatique furtif et continu

  • CIL : Correspondants Informatique et Libertés

  • CNIL : Commission Nationale de l’Informatique et des Libertés

  • DLP : Data Loss Prevention, techniques de protection contre la fuite d’informations

  • DPO : Data Protection Officer, délégués à la protection des données

  • GDPR : General Data Protection Regulation, Reglement du 14 avril 2016 sur la protection des données

  • IRP: Instances Représentatives du Personnel

  • PIA : Privacy Impact Assessment, une analyse des risques spécialisée sur la dataprivacy

  • UE : Union Européenne

Source

GDPR : General Data Protection Regulation, Reglement du 14 avril 2016 sur la protection des données (version du 6 Avril 2016)