Quels changements majeurs apporte le RGPD ?
Une définition élargie des données personnelles
Tout ce qui peut permettre d’identifier un individu sera comptée comme donnée personnelle, que cela ait trait à sa vie privée, publique ou professionnelle. Cela peut être un nom, l’adresse du domicile, une adresse email, une photo, des données bancaires, biométriques, génétiques, une information médicale, des publications sur les réseaux sociaux, l’adresse IP d’un ordinateur.
Des droits individuels renforcés en matière de consentement
Cela peut aller du droit d’accès au droit à l’effacement en passant par le droit à la portabilité. Les entreprises collectant ou traitant des données ont l’obligation de clairement communiquer les informations suivantes aux individus dont ils collectent les données :
Combien de temps les données seront stockées;
Si ces données seront transférées à d’autres pays ou non;
Leur droit de demander l’accès à leurs données;
Leur droit d’obtenir que leurs données soient modifiées ou effacées dans certaines circonstances;
Le renforcement des conditions de contrôle. Les entreprises ne pourront plus avoir recours à des Termes & Conditions interminables et truffés de jargon juridique, dans la mesure où la demande de consentement devra être communiquée de manière intelligible et facile d’accès, expliquant clairement à quoi serviront les données demandées. Et il devra être aussi facile à l’utilisateur de donner son consentement que de le reprendre.
Plus d’informations sur le RGPD et le consentement.
Une responsabilisation accrue des sous-traitants
Les gestionnaires de données (entreprises) comme les services d’hébergement des données (cloud) pourront maintenant être tenus responsables et des mesures pourront être prises à leur encontre. Les entreprises auront également le droit de contrôler l’usage que les Clouds font des données qu’ils hébergent. En cas de non-conformité, l’amende peut s’élever à 20 millions d’euros, ou 4% du chiffre d’affaires global de l’entreprise si celui-ci s’avère plus élevé.
Plus d’informations sur le RGPD et les prestataires.
Une application extraterritoriale
Le RGPD s’appliquera à votre entreprise si vous traitez les données de citoyens européens, quelque soit le pays où votre société est basée.
L’obligation de mettre en place de mesures préventives de protection des données
S’il n’est plus obligatoire d’informer les autorités compétentes dans le traitement des données personnelles, il est désormais impératif de mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires afin de prévenir tout risque. Cela concernera entre autres les contrats, la politique de confidentialité, la gestion des risques, la conservation des données…etc.
L’obligation d’informer les personnes concernées de toute fuite des données
En cas de fuite, l’entreprise gestionnaire sera tenue de notifier l’autorité nationale de protection dans les 72 heures suivant l’incident, afin que les utilisateurs puissent prendre des mesures appropriées.
Si la fuite présente un risque majeur pour les droits et libertés des individus concernés, ces derniers devront également être informés. L’entreprise devra conserver un registre internes des différents incidents. Le non-respect de cette clause pourrait entraîner une amende de 10 millions d’euros, voire de 2% du chiffre d’affaires annuel global si celui-ci s’avère plus élevé.
La nécessité d’engager un Délégué à la Protection des Données
Cela s’applique aux entreprises qui traitent comme celles qui contrôlent les données, quelque soit leur taille. Trois spécifiques cas de figure rendent nécessaires l’engagement d’un DPO (plus d’information sur Comment se préparer au RGPD ?). Les entreprises concernées qui ne respectent pas cette exigence peuvent se voir infligées d’une amende du montant le plus élevé, entre 10 millions d’euros et 2% de leur chiffre d’affaires. Si une entitée choisit de ne pas nommer un DPO, elle devra établir un rapport des raisons appuyant sa décision, prouvant qu’elle ne correspond à aucun des trois cas de figures mentionnés.
Des mesures techniques et organisationnelles plus strictes
Les entités doivent mettre en place les mesures de sécurité déjà existantes, comme par exemple, celles préconisées par le National Cyber Security Center ou le CIS Critical Security Controls.
Voici quelques exemples des mesures à prendre pour se protéger et éviter les sanctions :
Mesures organisationnelles :
Recruter un Délégué à la protection des données, ou faire appel à un prestataire extérieur;
Incorporer un régime de gestion des risques
Éduquer les utilisateurs et mettre en place des programmes de sensibilisation;
Former les employés à respecter les mesures de sécurité en dehors des lieux de travail
Mesures techniques :
Sécuriser la configuration de tous les systèmes (correctifs de sécurité, système d’inventaire, concevoir une base de référence pour tous les appareils);
Assurer la sécurité des réseaux (contrôles et test de sécurité);
Avoir le contrôle sur les permissions des utilisateurs (les réduire et surveiller leurs activités);
Suivi continu de tous les systèmes et réseaux;
Cryptage des données;
Tokenization des données;
Rendre les données anonymes
Proposer l’utilisation d’un pseudonyme, de sorte qu’il soit impossible de faire le lien entre l’utilisateur et ses données et donc de l’identifier sans information additionnelle;
Renforcer la résistance des systèmes et services de traitement des données;
Permettre à l’entreprise de restaurer l’accès aux données en cas de fuite;
Tester fréquemment l’efficacité des mesures de sécurité.