C’est l’année de la protection des données ! Il s’agit d’une année critique pour ceux qui travaillent à se conformer au Règlement Général sur la Protection des Données (RGPD) au sein de l’Union Européenne, et qui exige que les entreprises et autres entrepreneurs dans l’UE collectent, stockent et utilisent de manière sécurisée les données personnelles d’ici 2018.
Malheureusement, selon (ISC)², les entreprises n’ont pas suffisamment progressé en matière de protection des données. Elles ont en fait mis en œuvre trop peu de choses durant cette première année pourtant cruciale.
Dans un avertissement, en phase avec le Data Privacy Day, le conseil a mis en garde contre ce qu’il considère comme une responsabilisation insuffisante au sein des entreprises et une apparente croyance que le travail à réaliser est du ressort des spécialistes, tant juridiques que techniques.
Ces observations se basent sur les retours d’un groupe de travail RGPD international, composée de membres de (ISC)², et chargé de mettre en œuvre le RGPD. Le groupe de travail, qui suit et traite les retours des premières expériences en matière d’efforts de conformité, a résumé les problèmes comme suit :
Les premières observations de notre groupe révèlent qu’un trop grand nombre de projets s’arrêtent au premier obstacle, avec des équipes chargées de la mise en œuvre ne comprenant pas ou ne sachant pas comment sécuriser les supports des entreprises ou les budgets nécessaires pour la mise en conformité. Les connaissances de spécialistes sont consacrées à l’audit et à la définition des besoins, mais on se heurte à un manque de volonté ou d’acceptation au niveau des entreprises pour aller de l’avant avec les projets qui ont été sélectionnés. Les progrès réalisés tendent à être liés au déploiement de nouvelles initiatives, laissant des écarts dans la gestion des systèmes et des processus existants.
Le RGPD : priorité absolue
Selon le conseil, si les chefs d’entreprise n’arrivent pas à mesurer les exigences qui leur sont fixées, l’effort doit être redirigé afin de les aider à clarifier leur rôle dans le processus et les ressources nécessaires (tant financières qu’humaines). À cette fin, il a élaboré un plan d’action en deux points :
S’assurer que le RGPD devienne une priorité absolue au niveau du registre des risques encourus, pour l’entreprise et son board. Le conseil a déclaré que cela était justifié par l’impact d’un manque de conformité et la probabilité d’une violation dans le paysage actuel des menaces :
L’impact va au-delà de l’amende maximale, désormais bien connue, de 4% du chiffre d’affaires global. Les individus ont acquis de nouveaux droits pour exiger une action et une indemnisation pour les dommages liés à une violation de leurs droits, alors que la définition de ce qui est considéré comme des “données personnelles” comprend de nombreuses nouvelles formes de données électroniques, adresses IP et similaires, qui peuvent mener jusqu’à eux.
Mettre l’accent sur l’étendue des besoins. Il ne s’agit pas d’un simple exercice de “vérification et d’ajustement”, a déclaré le conseil, en ajoutant :
Le RGPD met davantage l’accent sur la documentation et l’existence de processus en place pour la gouvernance des données personnelles et demande aux entreprises de définir comment elles traiteront les demandes des utilisateurs liées à de nombreux nouveaux droits individuels, dont le plus cité est peut-être le droit de supprimer leurs données des systèmes.
Le Groupe de travail RGPD (ISC)2 EAC a publié une vue d’ensemble des fondamentaux qui peuvent être utilisés comme un outil pour aider chacun à comprendre et à communiquer sur ce qui est demandé.
Le mois dernier, NakedSecurity s’est concentré sur les choses que les entreprises devaient faire en 2017 pour se préparer au mieux au RGPD. Les personnes interviewées dans le cadre de l’article ont mentionné une checklist publiée par le bureau irlandais du Commissaire à la protection des données. Vous trouverez ci-dessous un résumé de cette dernière, qui permettra de clarifier quelques-unes des questions qui, selon le conseil, freinent les entreprises :
Les 12 notions importantes à connaitre
Le fichier .PDF de 11 pages est rempli d’informations utiles. Ce document incite les entreprises à avoir intégré ces notions d’ici mi-2017 :
-
- Etre informé. Il ne suffit pas que les PDG, les informaticiens et les agents de conformité connaissent les exigences du RGPD. L’ensemble des employés d’une organisation doit être largement informé sur l’importance de la réglementation et le rôle qu’il doit jouer.
- Être responsable. Les entreprises doivent faire un inventaire de toutes les données personnelles qu’elles détiennent et se poser les questions suivantes : Pourquoi les détenez-vous ? Comment les avez-vous obtenues ? Pourquoi elles ont été recueillies à l’origine ? Combien de temps allez-vous les conservez ? Sont-elles sécurisées, en matière de chiffrement et d’accessibilité ? Vous arrive-t-il de les partager avec des tiers et sur quel principe le faites-vous ?
- Communiquer avec le personnel et les utilisateurs du service. C’est une extension de la notion d’être informé. Examiner tous les avertissements actuels sur la confidentialité des données, alertant les personnes sur la collecte de leurs données. Identifier les écarts entre le niveau de collecte et de traitement des données au sein de l’organisation, et le niveau d’information des clients, du personnel et des utilisateurs du service.
- Protéger les droits à la protection de la vie privée. Examiner les procédures pour s’assurer qu’elles couvrent tous les droits des individus, y compris la façon dont les données personnelles peuvent être supprimées ou envoyées par voie électronique.
- Examiner comment les droits d’accès peuvent changer. Examiner et mettre à jour les procédures et planifier le traitement des demandes avec les nouvelles méthodes.
- Comprendre les aspects légaux. Les entreprises doivent se pencher sur les différents types de traitement de données qu’elles utilisent, identifier les bases juridiques pour de telles utilisations, et les documenter.
- S’assurer que le consentement du client soit sûr et fiable. Les entreprises qui utilisent le consentement du client lors de l’enregistrement de données personnelles doivent examiner comment ce consentement a été demandé, obtenu et enregistré.
- Traiter soigneusement les données des enfants. Les entreprises qui traitent les données de mineurs doivent s’assurer que des systèmes clairs sont en place pour vérifier les âges individuellement et recueillir le consentement des tuteurs.
- Avoir un plan pour signaler des violations. Les entreprises doivent s’assurer que les bonnes procédures sont en place pour détecter, signaler et enquêter sur une violation de données personnelles. Partez du principe qu’une violation se produira à un moment donné.
- Comprendre les Data Protection Impact Assessments (DPIA) et la Data Protection by Design and Default. Un DPIA est le processus d’examen systématique de l’impact potentiel qu’un projet ou une initiative peut avoir sur la vie privée des individus. Il permettra aux entreprises d’identifier les problèmes potentiels de protection de la vie privée avant qu’elles ne se produisent et de trouver une façon de les minimiser.
- Embaucher des agents chargés de la protection des données. L’important est de s’assurer qu’une personne au sein de l’organisation ou un conseiller externe en protection des données assume la responsabilité de la conformité des données et comprend la responsabilité de l’intérieur.
- Etudier les organisations qui gèrent le GDPR en interne. Le règlement inclut une disposition “one-stop-shop” pour aider les entreprises opérant dans les états membres de l’UE. Les entreprises multinationales auront le droit de traiter avec une seule autorité de protection des données, nommée Lead Supervisory Authority (LSA) en tant qu’organe régulateur unique dans le pays où elles sont principalement établies.
Billet inspiré de GDPR is just over a year away – and many firms are nowhere near ready, par Bill Brenner, Sophos NakedSecurity.
Qu’en pensez-vous ? Laissez un commentaire.