Le RGPD existe depuis un an
Le Règlement général européen en matière de protection des données.– ou RGPD – est en vigueur depuis maintenant un an. Considérant l’impact continu qu’il a sur les affaires, son première anniversaire constitue une belle occasion de revenir en arrière et de réexaminer le RGPD sur la raison de son existence, sur ce qu’il demande, ainsi que deux grands cas de non-respect du RGPD qui ont déjà été mentionnés pour servir de rappel, ainsi qu’un avertissement.
En quoi consiste le RGPD ?
Le RGPD est un règlement de l’Union européenne qui vise à protéger “les droits et libertés fondamentaux des personnes physiques.” En particulier, il vise à faire respecter ces droits en protégeant les données personnelles des citoyens de l’UE : La manière dont les données personnelles sont collectées, ce qui est collecté, comment les données sont traitées, et comment les composants sont sécurisés, tout ceci relève du RGPD et comment il incombe aux entreprises de traiter les données de la manière appropriée.
Outre les exigences fixées pour les entreprises à gérer et traiter correctement les collectes de données, le RGPD octroie également certains droits aux particuliers. Parmi d’autres, les droits octroyés comprennent :
- Le droit d’être informé de la collecte de données
- Le droit de donner son consentement exprès – ou non- de collecter et traiter les données
- Le droit d’avoir accès aux données personnelles
- Le droit de modifier les données personnelles erronées
- Le droit de restreindre le traitement des données personnelles
- Le droit de transfert des données personnelles
De plus, les particuliers disposent aussi du droit de faire supprimer leurs données, mieux connu sous le nom « le droit à l’oubli ». Le RGPD confère ces droits à des particuliers dans tout un éventail de circonstances, y compris lorsqu’un individu retire simplement son consentement auprès d’une société qui détient et traite ses données, mais fournit également quelques restrictions sur ces droits pour des données détenues en vertu de la loi, piur la santé publique ou d’autres raisons.
Qu’implique le respect du RGPD ?
Côté affaires, le RGPD partage les gestionnaires de données des organisations en deux catégories distinctes : Responsables du contrôle et Responsables du traitement.
Le Responsable du contrôle peut être considéré comme une sorte de gestionnaires et d’officier chargé de la conformité – un Chef en matière de RGPD en quelque sorte. Il revient au Responsable du contrôle d’examiner quelles données sont collectées et dans quel but, afin d’évaluer les divers risques et possibilités auxquelles sont soumises les données personnelles étant placées sous leur contrôle, et qui peuvent être violées ou mal traitées, et qui ainsi enfreignent le RGPD. Ces fondements étant en place, il revient au Responsable du contrôle de mettre en œuvre toutes les mesures, à la fois au niveau de l’organisation qu’au niveau technique, qui sont nécessaires pour protéger les données, et ainsi les personnes concernées par ces données – ce, conformément au RGPD. Enfin, avec la mise en œuvre et la supervision de toutes les dispositifs de sécurité visant à protéger les données, le RGPD requiert aussi que le responsable du contrôle soit en mesure de prouver sa conformité.
Si tout cela paraît managérial, cela l’est véritablement. Chaque organisation est différente bien évidemment, mais les responsables du contrôle peuvent être des directeurs de services TI orientés sur les données, au plus bas niveau, ou bien situé plus haut jusqu’à une fonction de cadre de niveau C.
Comme son nom l’indique, le Responsable du traitement, est l’entité qui travaille avec les données. Certaines sociétés traitent intégralement leurs propres données en interne, alors que d’autres externalisent le traitement des données vers une tierce partie. Chaque organisation gère différemment le traitement des données, qui repose sur les besoins uniques de leur organisation et de leurs affaires. Indépendamment du fait si le responsable du traitement travaille en interne ou en externe, le RGPD les place sous l’autorité directe du responsable du contrôle, et il doit être en mesure de garantir et de prouver au responsable du contrôle qu’il est capable de satisfaire à toutes les exigences fixées par le RGPD.
Tout le travail effectué par le responsable du traitement doit être régi par un contrat ou une autre accord formel qui légifère la nature. Les fins et la durée du travail de traitement. De plus, il y a plusieurs autres exigences auxquelles les responsables de traitement doivent satisfaire :
- Ils peuvent uniquement procéder au traitement des données à la demande du responsable du contrôle
- Ils doivent avoir noué un engagement de confidentialité
- Ils doivent s’assurer qu’ils peuvent documenter la conformité
- Ils doivent assister le responsable du contrôle pour permettre l’exercice des droits individuels discutés ci-dessus
- Ils doivent soit supprimer ou rendre les données à la fin d’un traitement spécifique des données
RGPD et sécurité des données
Les responsables du contrôle et du traitement des données doivent garantir que les mesures de sécurité sont en place à des niveaux de risque approprié, où les risques doivent être évalués, y compris en cas de perte, d’altération et d’accès ou de divulgation non autorisés. Le RGPD reconnaît le fait que de nouvelles menaces émergeront sans cesse, et que les technologies de pointe évolueront aussi. Il n’impose cependant pas des mesures techniques précises à prendre, mais il présente quelques exigences générales :
- Les données personnelles doivent être rendues anonymes ou de pseudonymes, dans la mesure du possible
- Les responsables du contrôle et du traitement doivent toujours maintenir la confidentialité, l’intégrité et la disponibilité de leurs données
- La disponibilité doit être restituable rapidement en cas de défaillances de système
- Il devrait y avoir des tests et évaluations de la sécurité des données en permanence, aussi bien au niveau technique organisationnel
Qui doit se conformer au RGPD ?
Le RGPD est applicable lorsqu’une organisation, soit responsable du contrôle, soit responsable du traitement, se trouve sur le territoire de l’UE. Toutefois, il est tout aussi important qu’il s’applique aussi à la plupart des instances lorsqu’une personne sujette à la collecte et au traitement des données se trouve sur le territoire de l’UE, et c’est aussi la raison pour laquelle de nombreuses sociétés en Amérique et ailleurs dans le monde entier doivent devenir conformes au RGPD également.
Les coûts de la non-conformité au RGPD
Dans les situations de non-conformité, le RGPD fait la distinction entre les dommages et les pénalités – et en considérant principalement que la confidentialité des données est un droit essentiel, il prend ces deux points très au sérieux. Les personnes qui ont subi un préjudice en raison de violations du RGPD ont droit d’obtenir un dédommagement intégral et effectif pour tous les préjudices – avec l’exigence supplémentaire que“le concept de préjudice fasse l’objet d’une interprétation plus élargie… d’une manière qui reflète entièrement les objectifs de ce Règlement.”
Et hormis les conséquences des préjudices envers les particuliers, les auteurs de la violation du RGPD doivent aussi être condamnés à des amendes et de pénalités administratives. La pénalité de base pour de graves violations s’élève à 20,000,000 EUR, mais peut atteindre jusqu’à 4% du chiffre d’affaires annuel si l’auteur fait partie d’un « engagement ». Ceci est un peu compliqué, car relativement vague – mais en substance, un engagement signifie que l’auteur est sous le contrôle , d’une grande société parente , par exemple, ainsi l’amende maximale de 4% peut être appliquée sur le chiffre d’affaires combiné de l’auteur de la violation et de la société parente.
Violations notoires de non-conformité au RGPD
La plus grande amende infligée jusqu’à présent est de 50,000,000 EUR qui a été prononcée à l’encontre Google pour son manquement à obtenir un consentement éclairé de la part des particuliers avant de collecter et traiter leurs données à utiliser pour un ciblage comportemental publicitaire, parmi d’autres fins. Bien que Google avait une case « Je donne mon consentement »”, l’Agence de contrôle française qui a infligé l’amende eu eu le sentiment qu’étant donné la complexité des opérations et du traitement des données de Google, les ´individus ne pouvaient pas véritablement comprendre à quoi ils consentaient – et que de cette manière le RGPD avait été enfreint.
Vous avez également pu noter que l’amende de 50,000,000 EUR dépasse le maximum de 20,000,000 EUR mentionné plus haut, et c’est parce que Google UE est détenue et contrôlée par la société holding de Google, Alphabe, qui fait donc partie d’un engagement. Théoriquement, les autorités françaises auraient pu demander jusqu’à 4% de la totalité du chiffre d’affaires d’Alphabet, ce qui aurait représenté des milliards, ainsi Google peut s’estimer heureux que l’amende fixée soit seulement de 50,000,000 EUR.
Le montant de la deuxième amende la plus élevée en date est de 400,000 EUR à l’encontre d’un hôpital portugais qui ne disposait pas de protocoles et de procédures de sécurité des données en place.
Par exemple, il y avait plus de comptes « docteur » ayant accès aux dossiers des patients qu’il n’y avait de docteurs dans l’hôpital – 300 % de plus, en fait. Les comptes des docteurs avaient accès à tous les dossiers des patients dans la base de données de l’hôpital, indépendamment du fait si ces dossiers leur étaient utiles, mais le pire était que 9 emplotés TI de l’hopitâl avait plein accès à toutes les données des patients.
RGPD : un an après
Une année s’est écoulée depuis que le RGPD soit entré en vigueur. Pendant cette période, nous avons assisté à la mise en place des contrôles nécessaires pour être conforme dans les sociétés du monde entier, et nous avons vu des mesures d’exécution infligées à l’encontre des sociétés n’étant pas conformes, conformité avec le RGPD ceci les a forcées à regarder de plus près leurs processus internes, et à adopter de nouvelles manières de penser et d’agir.
Ceci dit, les éléments fondamentaux de la sécurité des données n’ont pas changé. Apparemment, l’hôpital portugais a violé les exigences du RGPD selon laquelle il faut se prémunir d’un accès non autorisé. Mais davantage d’une violation du RGPD, permettre à un compte blanc d’avoir accès à des informations privilégiées constitue une violation envers principes de base en matière de cybersécurité qui met l’accent sur le fait que l’accès doit être octroyé uniquement à la bonne personne, au bon moment, et dans les bonnes circonstances : un processus connu sous le nom de gestion des accès à privilèges, ou PAM. Nous considérons l’accès aux données comme un a privilège, et non pas comme un droit– et tout comme le RGPD, nous comprenons également que la confidentialité est un droit essentiel que les organisations doivent protéger C’est la raison pour laquelle nous fabriquons des outils qui aident les sociétés à offrir cette confidentialité et à maintenir un niveau de conformité sans faille et efficace – et qu’elles soient en mesure de prouver cette conformité – avec le RGPD et de nombreux autres règlements internationaux et sectoriels en matière de sécurité TI.