Le 25 mai 2018 est une date importante dans l’histoire de la protection des donnée, qui devrait être gravée en rouge sur les calendriers de toute entreprise qui a une activité au sein de l’Union européenne (UE).
Il s’agit du jour à partir duquel les entreprises doivent être en totale conformité avec le Règlement Général sur la Protection des Données (RGPD) de l’UE, les obligeant à prendre des mesures spécifiques pour collecter, stocker et utiliser de manière plus sécurisée les données personnelles.
Pour les entreprises qui en sont au début de leurs efforts, il ne reste plus beaucoup de temps. Cet article devrait les aider à atteindre les objectifs qui ont été fixés.
Les entreprises ignorent le RGPD, à leurs risques et périls !
Tout d’abord, un peu de réalisme : les entreprises qui ne seront pas en conformité l’année prochaine à cette même période, s’exposeront à de lourdes amendes pour infraction.
Par exemple, le groupe NCC a proposé un modèle qui a extrapolé, à partir des amendes actuelles exigées pour infraction par le bureau du commissaire à l’information du Royaume-Uni, le niveau que ces dernières pourraient atteindre avec le Règlement Général sur la Protection des Données en place.
En vertu de ce modèle, les entreprises britanniques qui ont été pénalisées pour des infractions l’année dernière, auraient pu être exposées à des amendes représentant jusqu’à 69 millions de livres avec le RGPD, au lieu des £880500 qu’elles devaient payer collectivement. Talk Talk, qui l’an dernier a reçu la plus forte amende au Royaume-Uni pour perte de données, à savoir £400000, aurait dû faire face à une amende de 59 millions de livres, selon un calcul de NCC, tandis que Pharmacy2U, qui avait une amende de £130000, aurait dû recevoir une amende de 4.4 millions de livres.
Ce sont des chiffres inquiétants, en particulier à la lumière d’un rapport datant du mois de janvier et en provenance du conseil EMEA (ISC)2, qui traite des questions concernant l’Europe, le Moyen-Orient et l’Afrique. Selon le rapport, les entreprises ne s’en sortent pas très bien, en ayant accompli très peu d’actions durant cette première année, au cours de laquelle elles auraient dû mettre les choses en ordre. Le conseil a mis en garde contre ce qu’il considère être une mauvaise appréciation de la responsabilité au sein des entreprises et une croyance apparente que le travail à accomplir revient aux spécialistes, juridiques ou techniques.
Pendant ce temps, un récent rapport de Crown Records Management a révélé que près d’un quart des entreprises britanniques interrogées ont déclaré avoir stoppé leur préparation vis à vis du RGPD, 44% déclarant qu’elles ne pensaient pas que le RGPD s’appliquera une fois que le Royaume-Uni aura quitté l’UE en mars 2019, suite au Brexit voté l’année dernière.
Étant donné que le Royaume-Uni sera toujours dans l’UE lorsque le Règlement Général sur la Protection des Données entrera en vigueur, et qu’il continuera très probablement à travailler au sein de l’UE après le Brexit, c’est une hypothèse dangereuse et potentiellement coûteuse.
Ce n’est pas la taille qui compte !
Un autre point de confusion pour les entreprises concerne la taille. Plus précisément, les petites entreprises sont-elles confrontées aux mêmes exigences que les grandes entreprises au niveau du RGPD ?
Le Règlement Général sur la Protection des Données exige que toute entreprise qui exerce une activité dans l’UE, peu importe sa taille, collecte, stocke et utilise les données personnelles de manière sécurisée. Comme les grandes entreprises, les petites s’exposent à des amendes pour toute infraction potentiellement commise.
Cependant la réglementation tient compte du fait que les petites entreprises n’ont pas les mêmes ressources que les grandes entreprises. Le cabinet de conseil en protection des données britannique DataHelp souligne ces différences sur son site web :
En vertu de la loi actuelle, explicitée dans le Data Protection Act, (DPA), les mêmes règles s’appliquent, quelle que soit la taille d’une entreprise. Toutefois, le Règlement Général sur la Protection des Données (RGPD)… reconnaît que les PME doivent bénéficier d’un traitement différent que celui réservé aux entreprises grandes et publiques.
Un point qui préoccupe les petites entreprises est l’exigence par le RGPD d’embaucher un directeur de la protection des données. Bien que les entreprises plus petites puissent encore avoir besoin d’embaucher effectivement quelqu’un pour tenir ce rôle, si le traitement des données personnelles est essentiel à leurs opérations, il se peut que ce ne soit pas un employé à temps plein, mais plutôt un consultant qui pourrait être moins coûteux.
Malgré cet aspect inquiétant, les petites entreprises peuvent se réconforter avec la précision suivante : à savoir que dans la mesure où elles peuvent démontrer qu’elles ont mis tout en œuvre pour satisfaire aux exigences du RGPD, les régulateurs travailleront avec eux pour les aider à traiter tout problème qui pourrait survenir.
La clé est de faire appel aux bons consultants et de documenter toutes les actions prises.
Et maintenant ?
Maintenant que nous avons décrit les enjeux, examinons certaines étapes concrètes que les entreprises doivent prendre pour être prêtes pour mai 2018. NakedSecurity a récemment passé en revue une liste de 12 points publiée par le Bureau irlandais du Commissaire à la protection des données.
Les experts en conformité à qui nous avons parlé, ont mentionné à plusieurs reprises cette liste, en la qualifiant de particulièrement utile. La liste des 12 points est la suivante :
- Etre informé. Il ne suffit pas que les PDG, les informaticiens et les agents de conformité connaissent les exigences du RGPD. L’ensemble des employés d’une organisation doit être largement informé sur l’importance de la réglementation et le rôle qu’il doit jouer.
- Être responsable. Les entreprises doivent faire un inventaire de toutes les données personnelles qu’elles détiennent et se poser les questions suivantes : Pourquoi les détenez-vous ? Comment les avez-vous obtenues ? Pourquoi elles ont été recueillies à l’origine ? Combien de temps allez-vous les conservez ? Sont-elles sécurisées, en matière de chiffrement et d’accessibilité ? Vous arrive-t-il de les partager avec des tiers et sur quel principe le faites-vous ?
- Communiquer avec le personnel et les utilisateurs du service. C’est une extension de la notion d’être informé. Examiner tous les avertissements actuels sur la confidentialité des données, alertant les personnes sur la collecte de leurs données. Identifier les écarts entre le niveau de collecte et de traitement des données au sein de l’organisation, et le niveau d’information des clients, du personnel et des utilisateurs du service.
- Protéger les droits à la protection de la vie privée. Examiner les procédures pour s’assurer qu’elles couvrent tous les droits des individus, y compris la façon dont les données personnelles peuvent être supprimées ou envoyées par voie électronique.
- Examiner comment les droits d’accès peuvent changer. Examiner et mettre à jour les procédures et planifier le traitement des demandes avec les nouvelles méthodes.
- Comprendre les aspects légaux. Les entreprises doivent se pencher sur les différents types de traitement de données qu’elles utilisent, identifier les bases juridiques pour de telles utilisations, et les documenter.
- S’assurer que le consentement du client soit sûr et fiable. Les entreprises qui utilisent le consentement du client lors de l’enregistrement de données personnelles doivent examiner comment ce consentement a été demandé, obtenu et enregistré.
- Traiter soigneusement les données des enfants. Les entreprises qui traitent les données de mineurs doivent s’assurer que des systèmes clairs sont en place pour vérifier les âges individuellement et recueillir le consentement des tuteurs.
- Avoir un plan pour signaler des violations. Les entreprises doivent s’assurer que les bonnes procédures sont en place pour détecter, signaler et enquêter sur une violation de données personnelles. Partez du principe qu’une violation se produira à un moment donné.
- Comprendre les Data Protection Impact Assessments (DPIA) et la Data Protection by Design and Default. Un DPIA est le processus d’examen systématique de l’impact potentiel qu’un projet ou une initiative peut avoir sur la vie privée des individus. Il permettra aux entreprises d’identifier les problèmes potentiels de protection de la vie privée avant qu’elles ne se produisent et de trouver une façon de les minimiser.
- Embaucher des agents chargés de la protection des données. L’important est de s’assurer qu’une personne au sein de l’organisation ou un conseiller externe en protection des données assume la responsabilité de la conformité des données et comprend la responsabilité de l’intérieur.
- Etudier les organisations qui gèrent le RGPD en interne. Le règlement inclut une disposition “one-stop-shop” pour aider les entreprises opérant dans les états membres de l’UE. Les entreprises multinationales auront le droit de traiter avec une seule autorité de protection des données, nommée Lead Supervisory Authority (LSA) en tant qu’organe régulateur unique dans le pays où elles sont principalement établies.
Appropriez-vous cette démarche
Ceux qui ont été interrogés pour la partie concernant NakedSecurity et citée dans l’article principal, ont mis en avant comment ils avaient suivi les lignes directrices du Bureau irlandais du Commissaire à la protection des données, tout en les adaptant à leurs entreprises. L’un d’eux s’appelle Craig Clark, responsable de la sécurité de l’information et de la conformité pour les services informatiques à l’Université de Londres de l’Est.
D’un point de vue projet, il a suggéré que les points suivants soit mis en place totalement ou partiellement d’ici la mi-2017 :
- Sensibilisation à C-Suite.
- Sensibilisation de l’utilisateur.
- Rendez-vous DPO.
- Identification de l’information.
- Mise à jour des avis de confidentialité.
- Politiques de protection des données mises à jour.
- Accords de partage d’informations mis à jour.
- Évaluations d’impact sur la confidentialité des données approuvées.
- Identification de tous les transferts transfrontaliers.
- Établissement de protocoles de gestion des droits des données.
- Confidentialité par conception mis en œuvre dans la méthodologie du projet.
Clark a déclaré :
Beaucoup de conseils doivent encore être donnés par l’ICO (le Bureau du Commissaire à l’information du Royaume-Uni), mais je voudrais au moins que les points mentionnés ci-dessus soient mis en œuvre.
Billet inspiré de GDPR is just a year away: here’s what you need to know, sur Sophos nakedsecurity.