Le RGPD, ou Règlement Général sur la Protection des Données, entre en vigueur dès mai de cette année. Le règlement oblige les entreprises à protéger les données personnelles data et confidentialité des résidents de l’UE. Et la non-conformité pourrait coûter cher aux entreprises. Le RGPD concerne le cycle de vie complet des données, y compris la collecte, le stockage, l’utilisation et la conservation des données. Le RGPD s’applique tant au traitement automatisé qu’au traitement manuel des données. Pour les entreprises i|Pour être conforme au RGPD, il est important de comprendre ce que sont les données personnelles.
Qu'est-ce que les données personnelles
Les données personnelles sont toutes les informations relatives à un identifié|e ou identifiable individu vivant. Lorsqu'elles sont collectées ensemble, différentes informations peuvent conduire à l'identification d'une personne particulière. Ces informations constituent des données personnelles. Par exemple, le nom complet d'une personne est un identifiant évident. Mais une personne peut aussi être identifiable à partir d'autres informations, y compris une combinaison d'éléments d'identification tels que caractéristiques physiques, pseudonymes, profession, adresse, etc. Les données personnelles qui ont été dé-identifiées, cryptées ou pseudonymisées, mais qui peuvent toujours servir à ré-identifier une personne, restent des données personnelles.
Cependant, les données personnelles rendues anonymes de manière à ce que l'individu ne soit plus identifiable ne sont pas considérées comme des données personnelles. Pour que les données soient véritablement anonymisées, l'anonymisation doit être irréversible.
Géographie du RGPD
Quoi de neuf ? En quoi le GDPR diffère-t-il de la loi européenne sur la protection des données personnelles ?
Pseudonymisation. Il est nécessaire de stocker séparément les infos permettant d'identifier une personne et les données la concernant. Par exemple, le nom doit être conservé séparément de l'historique de ses actions dans l'app. Ainsi, en cas de fuite de données, il sera impossible d'associer actions et individu.
Nouveaux droits pour les sujets des données. Par exemple, le droit à l'oubli. Toutes les données personnelles concernant un individu doivent être supprimées sur demande. Ou le droit à la portabilité, ce qui signifie que vous devriez être en mesure de transférer vos données personnelles d'un fournisseur de services à un autre si vous décidez de changer.
Fuites de données. Il sera nécessaire d'informer les autorités et les utilisateurs de toute violation de données dans les 72 heures suivant leur découverte.
Responsables de la protection des données. Chaque grande entreprise devra embaucher un Data Protection Officer (DPO).
Vie privée par défaut et privacy by design (sera discuté plus en détail).
Les étapes que vous devez entreprendre pour vous rapprocher de la conformité au RGPD
Étape 1. Rendez « privé » le paramètre par défaut.
Lorsque l'on commence à travailler avec un logiciel, l'utilisateur doit disposer de paramètres garantissant une confidentialité maximale. Si l'utilisateur ne modifie pas les paramètres, le niveau de protection doit rester inchangé. L'application ne doit exiger aucune action de la part des utilisateurs pour garantir un niveau de protection des données personnelles maximal.
Étape 2. Intégrer la confidentialité.
Introduce privacy into your software from the very beginning, even before the first piece of personal information gets into the system. Privacy should be at the core of any software and not be installed with some plugin. Lack of privacy cannot be the price for apps functionality, meaning you can't present your users with a challenge – privacy or functionality. Such software will be illegal when GDPR becomes effective.
Étape 3. Identifier les données personnelles et les processus qui les utilisent.
Mettre en place et maintenir un registre des données personnelles. Il peut s'agir d'un document séparé ou d'une partie du registre des actifs d'information. Utilisez cet outil pour garder une trace des données personnelles que vous collectez, en indiquant les lieux où elles sont stockées, le propriétaire du fichier responsable, le niveau d'accès, la durée de stockage, l'accessibilité des données, etc. Déterminez à l'avance qui dans votre entreprise maintient ce registre.
Vous pouvez utiliser tout outil familier pour suivre les données personnelles que vous traitez, par exemple| Diagrammes de flux de données, traitement des registres, inventaires de données, index de données, Mappages de données.
Étape 4. Minimiser les données personnelles.
L’utilisation des données personnelles doit être réduite au niveau minimum suffisant pour atteindre l’objectif du traitement. Minimisez l’identification des utilisateurs partout où c’est possible. Intégrez la fonction de suppression des données inutiles et utilisées.
Cette étape protégera non seulement la vie privée des utilisateurs, mais vous évitera aussi bien des tracas en cas d'attaque de pirates sur l'application. Vous n'aurez pas à notifier les autorités et les sujets des données personnelles concernant la violation des données ni à payer une lourde amende pour une négligence dans le respect de la règle de minimisation des données.
Étape 5. Enregistrer la mise en œuvre des règles du RGPD.
Les entreprises sont obligées non seulement de suivre les réglementations du RGPD mais aussi de pouvoir prouver par la documentation qu'elles sont conformes au RGPD. Même si l'entreprise a suivi toutes les réglementations, mais a oublié de les documenter, toutes les mesures non documentées seront considérées comme non mises en œuvre. L'audit montrera qu'aucune action n'a été entreprise pour devenir conforme au RGPD dans l'entreprise. C'est pourquoi les entreprises doivent embaucher des DPO, dont le devoir sera de documenter toutes les mesures prises en faveur de la conformité RGPD.
Étape 6. Obtenir le consentement éclairé pour le traitement des données personnelles.
Pour traiter la data, il sera nécessaire d'obtenir le consentement préalable des utilisateurs. Le consentement doit préciser comment l'information sera traitée, qui la transmettra et comment vers un autre pays. Le texte doit être non ambigu et compréhensible. Vous devez fournir des informations complètes sur le traitement des données personnelles de l'utilisateur : quelles données, quand, par qui, où, dans quel but ? De plus, le silence ou l'inactivité ne vaut pas accord ; par exemple, les utilisateurs devront eux-mêmes cocher volontairement la case « recevoir la newsletter ».
Étape 7. Mettre en place des mesures de sécurité de l'information.
La réglementation a augmenté les pénalités en cas de fuite d'informations. Désormais, les entreprises ne paieront pas seulement pour les attaques de pirates avec leur réputation, mais seront soumises à de lourdes amendes. En d'autres termes, les entreprises devront payer pour une gestion inadéquate de la confidentialité, de l'intégrité et de l'accessibilité des données personnelles des utilisateurs. Par conséquent, il est nécessaire de prendre soin du système de protection dès la phase initiale du développement du logiciel. Les auteurs du RGPD mentionnent le chiffrement comme l'une des mesures, mais les créateurs de logiciels sont libres de choisir toutes les mesures de protection qu'ils jugent pertinentes.
Bien que le RGPD ne fasse pas référence à des normes spécifiques de sécurité de l'information, la certification ISO 27xxx est l'une des mesures qui permettra de montrer aux autorités de régulation que vous avez mis en place un système solide de sécurité des données.
Under the shadow of GDPR, it is easy to understand why companies are concerned about the regulation with the potential to have such a profound impact on their business. The GDPR represents a huge shift in the way businesses will be expected to handle data. However, compliance with GDPR will soon become a point of differentiation, and the sooner businesses are GDPR compliant, the sooner they will begin to reap the rewards of standing out from the competition. Enhanced customer loyalty and confidence that their personal information is in good hands and maximized selling opportunities are just one of many other benefits the companies will be getting.
