Le règlement général sur la protection des données de l’UE est désormais une loi à part entière

Varonis-Norman-Girard-article

Norman Girard, Vice Président et Directeur Général Europe de Varonis

L’approbation finale reçue par le règlement général sur la protection des données de l’UE (General Data Protection Regulation, ou GDPR) est selon certains, un « tournant de l’ère numérique ».

La version définitive du Règlement aplanit quelques ambiguïtés et quelques derniers détails entre les différentes versions proposées par le Parlement européen et par le Conseil. N’oublions pas que le GDPR entrera en vigueur vers la fin de l’année 2017.

Amendes

Le GDPR prévoit des amendes à plusieurs paliers :

Une entreprise peut se voir infliger une amende s’élevant jusqu’à 2 % pour mauvaise tenue des enregistrements (article 28), défaut de notification de l’autorité de surveillance et de la personne concernée à propos d’une violation (articles 31 et 32) ou absence d’évaluations d’impact (article 33).

Les infractions plus sérieuses méritent une amende de 4 %. Celles-ci comprennent la violation des principes de base de la sécurité des données (article 5) et des conditions de consentement des consommateurs (article 7). Ces infractions constituent principalement des violations des concepts essentiels de respect de la vie privée dès la conception promus par la loi.

Les règles du GDPR de l’UE s’appliquent aussi bien aux responsables du traitement qu’aux sous-traitants, via le « cloud ». Ainsi, les fournisseurs de services cloud sont tout aussi concernés lorsqu’il s’agit d’appliquer le GDPR.

Délégué à la protection des données

C’est officiel : il vous faudra probablement un délégué à la protection des données ou DPD. Vous pouvez découvrir les subtilités de la question dans l’article 35.

Si les activités principales de votre entreprise comprennent la « supervision systématique de personnes concernées à grande échelle » ou le traitement à grande échelle de « catégories spéciales » de données (origine ethnique, opinions politiques, convictions religieuses ou philosophiques, données biométriques, médicales ou sexuelles, ou concernant l’orientation sexuelle), vous êtes dans l’obligation d’avoir un DPD.

Aux États-Unis, la fonction la plus proche est celle de responsable de la confidentialité.

Dans tous les cas, les attributions du DPD comprennent le conseil et la supervision de la conformité au GDPR, ainsi que la représentation de l’entreprise lors du contact avec l’autorité de contrôle nationale.

Notification d’atteinte à la protection des données

L’article 31 nous dit que les responsables du traitement sont dans l’obligation de notifier l’autorité de supervision appropriée d’une violation de données à caractère personnel dans les 72 heures (au plus tard) suivant la découverte de l’exposition, si celle-ci entraîne des risques pour le consommateur. Mais même si la gravité de l’exposition reste limitée, l’entreprise doit néanmoins conserver des enregistrements internes à propos de l’incident.

Selon le GDPR, la destruction, la perte ou l’altération accidentelle ou illicite, la divulgation ou l’accès non autorisés aux données à caractère personnel (le terme de l’UE pour les IPI) sont considérés comme des violations.

D’après ma compréhension du GDPR, cela signifie que si un collaborateur voit des données qui ne relèvent pas de sa description de poste, le cas pourrait être considéré comme une violation.

D’où l’importance d’avoir effectué un examen approfondi des listes d’accès aux fichiers et d’avoir mis en place des contrôles basés sur les rôles. 

Conclusion : la notification du GDPR va au-delà de dire simplement qu’un incident est survenu.  Vous devrez indiquer les catégories de données, les enregistrements affectés et le nombre approximatif de personnes concernées. Et cela signifie qu’il vous faudra disposer d’informations détaillées sur ce que faisaient les pirates externes et internes.

Les sous-traitants disposent d’une marge de manœuvre un peu moins étroite : ils sont censés notifier l’entreprise à laquelle ils fournissent des services (le responsable du traitement) « sans retard indu ».

Dans quelles conditions une entreprise doit-elle informer la personne concernée d’une violation ? Les détails sont dans l’article 32, mais par exemple, si une entreprise a chiffré les données ou pris d’autres mesures de sécurité qui les rendent illisibles, elle ne sera pas tenue d’informer la personne concernée.

Pour les pays à l’extérieur de l’UE

Nous avons tiré la sonnette d’alarme sur l’extra-territorialité depuis déjà plusieurs mois. Avec la finalisation du GDPR, nous pouvons dire avec certitude que la nouvelle loi s’applique à votre entreprise, même si elle ne fait que vendre des biens ou des services dans l’Union européenne.

En d’autres termes, même si vous n’avez aucune présence formelle dans la zone UE, mais que vous recueillez et stockez les données personnelles de citoyens européens, le GDPR vous concerne.

Comme beaucoup l’ont fait remarquer, la condition d’extra-territorialité (article 3) concerne tout particulièrement les entreprises de commerce électronique. 

Autres ressources

Toutes les permutations du GDPR et les manières dont elles s’appliquent s’avèrent trop complexes pour être abordées en quelques articles de blog. Le délégué à la protection des données reste la personne vers laquelle se tourner pour demander conseil, parallèlement aux experts juridiques extérieurs à l’entreprise.

Voici quelques informations complémentaires et disponibles sur le sujet :