Publié sur 28 nov. 2023.
Vous l'avez peut-être déjà lu : la mise à jour du GDPR ou règlement général sur la protection des données de l'Union européenne est un fait. À partir du 25 mai 2018, la directive controversée autour de la protection des données personnelles et de la sécurité entrera en vigueur.
Mais qu'est-ce que cette législation GDPR - désormais malheureusement célèbre ? Quel est l'impact sur votre organisation et comment pouvez-vous, vous aussi, vous qualifier pour vous conformer aux exigences (strictes) ?
Le GDPR (également connu sous le nom d'AVG ou General Data Protection Regulation) fixe des règles sur la manière dont vous devez gérer et sécuriser les données personnelles des citoyens européens.
Plus précisément, en tant qu'organisation ou entreprise, vous devez être en mesure de présenter les données que vous collectez, que vous utilisez ou que vous gérez, et la manière dont vous vous assurez qu'elles sont correctement sécurisées contre les influences néfastes provenant de l'intérieur et de l'extérieur, qu'il s'agisse de données que vous traitez en interne, en utilisant une infrastructure cloud ou même une infrastructure située en dehors de l'UE.
L'internet est déjà remplis d'articles évoquant des amendes monstrueuses pouvant atteindre 4 % de votre chiffre d'affaires annuel en cas de non-respect de ces lignes directrices. Il est impératif de signaler les "fuites de données" et de s'assurer que l'ensemble de votre infrastructure dispose d'un plan de sécurité solide.
Si l'une des règles classiques est que "la soupe n'est jamais bue aussi chaude...", c'est malheureusement le cas ici. c'est malheureusement le cas ici.
À une époque moderne où votre organisation utilise des services cloud et est susceptible d'entrer en contact avec une forme ou une autre de traitement de données de personnes (clients et/ou employés), le GDPR s'applique aux grandes entreprises, ainsi qu'aux petites entreprises et autres organisations.
Des études montrent que peu d'organisations se préparent déjà, ou ont progressé dans l'établissement d'un plan d'action.
La directive officielle GDPR s'applique aux responsables du traitement des données et aux sous-traitants. Les deux "parties" peuvent donc être définies :
Responsable du traitement - "la personne physique ou morale, l'autorité publique, le service ou l'organisme qui, seul ou avec d'autres, détermine la finalité et les moyens du traitement des données à caractère personnel". En d'autres termes, si vous collectez et stockez vous-même des données à des fins de marketing - nous ne donnons ici qu'un exemple - vous relevez du rôle de "responsable du traitement" (contrôleur des données).
Le sous-traitant - "la personne physique ou morale, l'autorité publique, le service ou l'organisme qui traite les données pour le compte du responsable du traitement". Pour revenir à notre exemple, si vous collectez et stockez des données à des fins de marketing et que vous le faites par l'intermédiaire d'un fournisseur de services en nuage, ce dernier doit également se conformer à la législation GDPR, puisqu'il est le "processeur" (responsable du traitement des données).
Attention, le responsable du traitement est tenu de respecter les directives du sous-traitant !
Mais... le sous-traitant de données à caractère personnel doit également se conformer à certaines règles et rapports sur la manière dont il traite les données.
Nous avons déjà rassemblé ci-dessous les points les plus importants du GDPR. Ces détails sont bien sûr disponibles sur le site officiel du GDPR.
Juridiction étendue
Les règles s'appliquent à toute entreprise traitant des données de citoyens de l'UE, quel que soit le lieu d'implantation de l'entreprise. Par conséquent, si votre siège social ne se trouve pas sur le territoire de l'UE mais que vous traitez des données de citoyens de l'UE, vous êtes tout de même responsable.
Consentement à l'utilisation des données
Les entreprises doivent obtenir le consentement de la personne concernée pour conserver et gérer ces données, et doivent également expliquer comment elles les utiliseront et pourquoi.
Signalement obligatoire des fuites de données
Désormais, les entreprises et les organisations sont tenues de signaler une fuite de données à l'autorité compétente dans les 72 heures suivant l'identification de la fuite, sauf s'il s'agit d'une faille de sécurité qui n'a pas d'incidence sur "les droits et libertés de la personne".
Le droit d'accès
Les entreprises doivent fournir à toute personne qui en fait la demande une copie électronique des données détenues, y compris des informations sur la manière dont elles sont détenues, où et dans quel but.
Droit à l'effacement
Les citoyens de l'UE peuvent demander au responsable du traitement des données non seulement d'effacer leurs données, mais aussi de cesser de les faire utiliser par des tiers, qui seront à leur tour obligés de cesser de les utiliser.
Transférabilité
La nouvelle directive permet également aux personnes de transférer leurs données d'un responsable du traitement à un autre. Concrètement, cela signifie que, sur demande, les entreprises ou les organisations doivent fournir un moyen permettant à l'individu de transférer facilement les données dans un format lisible.
Respect de la vie privée dès la conception
Il s'agit d'une règle cruciale et sans aucun doute de l'un des changements les plus importants du GDPR. Auparavant, il était possible de contourner la nécessité de mettre en œuvre une sécurité complète en disant "nous fournirons une sécurité suffisante". En introduisant la règle "Privacy by Design", la sécurité doit désormais être assurée dans les produits/services et les processus dès le jour de la mise en œuvre !
Délégué à la protection des données (DPD)
Le responsable du traitement des données et le sous-traitant doivent tous deux disposer d'un "DPD" ou "délégué à la protection des données". Le DPD peut être une partie externe, un nouvel employé ou un membre de l'organisation. Attention, il y a des exceptions, tout le monde n'a pas besoin de nommer un DPD !
En tant que fournisseur de services cloud, Kinamo a acquis au fil des ans une expérience approfondie en matière de sécurité des infrastructures informatiques, mais aussi de traitement, de gestion et d'enregistrement des données.
Le GDPR est-il une histoire exclusivement "informatique" ? Certainement pas... Nous sommes donc conscients du fait que la mise en conformité de votre organisation avec le GDPR nécessite un regard neuf sur votre expérience en tant que gestionnaire de vos propres processus et sur la valeur ajoutée de Kinamo pour l'optimisation des processus numériques de votre organisation.