Le règlement général sur la protection des données (GDPR) est la loi la plus stricte au monde en matière de confidentialité et de sécurité, mais peu d’organisations sont complètement conformes à ses statuts.
La complaisance est un territoire dangereux. Les entités non conformes pourraient se voir infliger une amende pouvant aller jusqu’à 18 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Ce billet présente clairement les normes établies par le GDPR et fournit une liste de contrôle pour aider les organisations à rester conformes. Vous pouvez voir ce site pour plus d’informations sur le logiciel rgpd.
Qu’est-ce que le règlement général sur la protection des données (RGPD)
Le RGPD est le fruit de l’audacieuse réforme de la protection des données de l’Union européenne. Les normes strictes en matière de confidentialité sont entrées en vigueur le 25 mai 2018. Ce cadre de cybersécurité vise à protéger les données personnelles de toutes les personnes de l’Union européenne.
Le GDPR met à jour la Convention européenne des droits de l’homme de 1950 pour la rendre pertinente à l’ère numérique. L’article 8 de la convention stipule que toute personne a droit au respect de la vie familiale privée.
À l’époque analogique qui a donné naissance à la convention, les frontières entre vie publique et vie privée étaient audacieuses et facilement identifiables. Aujourd’hui, elles sont ambiguës et floues. Sans une norme claire et appliquée comme le GDPR, les clients ne peuvent jamais être sûrs que leurs données privées, et donc leur vie privée, sont respectées.
Qu’est-ce qui est considéré comme des données personnelles en vertu du GDPR de l’UE ?
Selon l’article 4 du GDPR, les données personnelles sont définies comme toute information qui se rapporte à une personne physique identifiée ou identifiable. En d’autres termes, les données personnelles sont toutes les données qui sont liées à l’identité d’une personne vivante.
Cela ne comprend pas seulement les associations directes, telles que les informations financières et les adresses, mais aussi les liens indirects tels que les évaluations relatives aux modèles de comportement d’une personne.
La définition des données personnelles est également agnostique en termes de format, de sorte qu’elle pourrait inclure des images, des vidéos, des sons, des chiffres et des mots.
Les informations inexactes relatives aux personnes concernées sont toujours considérées comme des données personnelles, car ces informations sont liées à une identité. En revanche, si les informations sont associées à une entité fictive, elles ne sont pas considérées comme des données personnelles. Par exemple, si vous faites référence à un personnage fictif résidant dans un lieu fictif, cela n’est pas considéré comme des données personnelles.
À qui s’applique le GDPR ?
Le GDPR a un impact sur toute organisation qui offre des biens et des services aux personnes dans l’UE, cela inclut les entités qui ne sont pas situées dans l’UE. Si vous gérez une entreprise en ligne, vous ne pouvez jamais savoir avec certitude si les personnes avec lesquelles vous effectuez des transactions sont situées dans l’UE. Pour cette raison, toutes les entreprises en ligne devraient être conformes au GDPR comme mesure de protection à tout le moins.
Les données personnelles sont canalisées dans deux catégories, vers ceux qui contrôlent les données et ceux qui traitent les données.
Contrôleurs de données
Le GDPR définit un contrôleur comme tout individu, autorité publique, agence ou autre organisme qui détermine la finalité et les moyens du traitement des données personnelles. Les contrôleurs décident de la manière dont les données personnelles sont traitées.
Par exemple, une école de musique utilise un écran numérique pour informer les parents dans la salle d’attente lorsque chaque professeur est prêt. L’écran affiche le nom de chaque enfant et le numéro de salle de leur cours de musique.
L’école de musique est classée comme « responsable du traitement » des données à caractère personnel car elle décide de la manière dont le système de notification doit traiter toutes les données.
Les sous-traitants de données
Le GDPR définit tout individu, autorité publique, agence ou autre organisme qui traite des données à caractère personnel pour le compte d’un responsable du traitement. Parce que les processeurs exécutent les règles de traitement des données établies par un responsable du traitement, ils ne prennent pas de décisions sur la façon dont les données personnelles sont traitées.
Par exemple, une société de logiciels embauche un marketeur pour une prochaine campagne d’emailing. Le marketeur reçoit les noms et les adresses électroniques de tous les prospects afin qu’un courriel personnalisé puisse être envoyé à chacun d’entre eux.
L’entreprise de logiciels est classée comme le contrôleur des données personnelles puisqu’elle détermine comment les données doivent être traitées. Le marketeur est classé comme le « processeur » puisqu’il exécute les instructions de traitement des données de la société de logiciels.
Même si les processus ne font que suivre les instructions du contrôleur, ils sont tout de même censés être conformes au GDPR aux côtés des processus car ils traitent des données personnelles.
Liste de contrôle des étapes pour être conforme au GDPR
La liste de contrôle suivante aidera les entreprises à évaluer leur statut actuel de conformité au GDPR et aussi à réformer les mauvaises pratiques de traitement des données pour devenir plus conformes.
Nommer un délégué à la protection des données (DPD)
L’article 37 du GDPR stipule que les responsables du traitement et les processus doivent nommer un délégué à la protection des données (DPD) pour superviser la stratégie de protection des données. Notez que même les processus sont censés avoir une stratégie de protection des données, même s’ils ne font que suivre les instructions de traitement des données établies par les responsables du traitement.
Malheureusement, le GDPR ne définit pas ce qu’est une « grande échelle ». En raison de cette ambiguïté, de nombreuses organisations choisissent de nommer des DPO juste pour être en sécurité.
Les organisations devraient nommer des DPO là où leurs opérations de traitement des données sont centralisées, même si elles sont situées en dehors de l’UE. Si une organisation est située dans l’UE, un DPO devrait être stationné dans l’État membre du siège de l’entreprise.
Idéalement, le DPO devrait parler les mêmes langues que les régulateurs du GDPR dans cet État. Cela aidera les organisations à comprendre, et donc à se conformer, aux nuances du GDPR de cet État.
Pour s’acquitter efficacement de ces responsabilités, un DPO doit posséder une connaissance experte des lois et des meilleures pratiques du GDPR.
Pour soutenir les efforts des DPO, les organisations devraient adopter une solution de surveillance de la surface d’attaque afin d’identifier les vulnérabilités qui pourraient exposer les données traitées.
Créer un journal GDPR
Un journal GDPR, ou un registre de données, est un registre complet de la façon dont une organisation pratique la conformité au GDPR. Il faudrait le créer après avoir identifié toutes vos sources de données (point 1 de cette liste).
Un journal GDPR devrait cartographier le flux de données à travers votre organisation, plus les détails qui peuvent être inclus, mieux c’est. En cas d’audit, le journal GDPR servira de preuve de conformité.
Si votre organisation subit une violation de données au cours du processus d’instauration d’un cadre de conformité, le journal GDPR peut être utilisé comme preuve de progrès vers une meilleure sécurité des données.
Une solution tierce de surveillance de la surface d’attaque aide les organisations à identifier et à remédier à toutes les vulnérabilités de violation de données dans leur réseau de fournisseurs.
La mise en œuvre précoce d’une telle solution démontre l’engagement d’une organisation à protéger les données des clients.
Évaluez vos besoins en matière de collecte de données
Pour être conforme au GDPR, vous ne devez collecter que les données dont vous avez absolument besoin. Accumuler des données sensibles sans raison impérieuse déclenchera une sonnette d’alarme pour l’autorité de contrôle qui surveille votre conformité.
Toutes les exigences en matière de données doivent être examinées minutieusement par le biais d’une évaluation d’impact sur la vie privée IPIA) et d’une évaluation d’impact sur la protection des données (DPIA). Ces analyses d’impact sont obligatoires lorsque les données collectées sont très sensibles.
