Retour au menu principal

Quels changements majeurs apporte le RGPD ?

Une définition élargie des données personnelles

Tout ce qui peut permettre d’identifier un individu sera comptée comme donnée personnelle, que cela ait trait à sa vie privée, publique ou professionnelle. Cela peut être un nom, l’adresse du domicile, une adresse email, une photo, des données bancaires, biométriques, génétiques, une information médicale, des publications sur les réseaux sociaux, l’adresse IP d’un ordinateur.

Des droits individuels renforcés en matière de consentement

Cela peut aller du droit d’accès au droit à l’effacement en passant par le droit à la portabilité. Les entreprises collectant ou traitant des données ont l’obligation de clairement communiquer les informations suivantes aux individus dont ils collectent les données :

  • Badge Check

    Combien de temps les données seront stockées;

  • Badge Check

    Si ces données seront transférées à d’autres pays ou non;

  • Badge Check

    Leur droit de demander l’accès à leurs données;

  • Badge Check

    Leur droit d’obtenir que leurs données soient modifiées ou effacées dans certaines circonstances;

  • Badge Check

    Le renforcement des conditions de contrôle. Les entreprises ne pourront plus avoir recours à des Termes & Conditions interminables et truffés de jargon juridique, dans la mesure où la demande de consentement devra être communiquée de manière intelligible et facile d’accès, expliquant clairement à quoi serviront les données demandées. Et il devra être aussi facile à l’utilisateur de donner son consentement que de le reprendre.

Plus d’informations sur le RGPD et le consentement.

Une responsabilisation accrue des sous-traitants

Les gestionnaires de données (entreprises) comme les services d’hébergement des données (cloud) pourront maintenant être tenus responsables et des mesures pourront être prises à leur encontre. Les entreprises auront également le droit de contrôler l’usage que les Clouds font des données qu’ils hébergent. En cas de non-conformité, l’amende peut s’élever à 20 millions d’euros, ou 4% du chiffre d’affaires global de l’entreprise si celui-ci s’avère plus élevé.

Plus d’informations sur le RGPD et les prestataires.

Une application extraterritoriale

Le RGPD s’appliquera à votre entreprise si vous traitez les données de citoyens européens, quelque soit le pays où votre société est basée.

L’obligation de mettre en place de mesures préventives de protection des données

S’il n’est plus obligatoire d’informer les autorités compétentes dans le traitement des données personnelles, il est désormais impératif de mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires afin de prévenir tout risque. Cela concernera entre autres les contrats, la politique de confidentialité, la gestion des risques, la conservation des données…etc.

L’obligation d’informer les personnes concernées de toute fuite des données

En cas de fuite, l’entreprise gestionnaire sera tenue de notifier l’autorité nationale de protection dans les 72 heures suivant l’incident, afin que les utilisateurs puissent prendre des mesures appropriées.

Si la fuite présente un risque majeur pour les droits et libertés des individus concernés, ces derniers devront également être informés. L’entreprise devra conserver un registre internes des différents incidents. Le non-respect de cette clause pourrait entraîner une amende de 10 millions d’euros, voire de 2% du chiffre d’affaires annuel global si celui-ci s’avère plus élevé.

La nécessité d’engager un Délégué à la Protection des Données

Cela s’applique aux entreprises qui traitent comme celles qui contrôlent les données, quelque soit leur taille. Trois spécifiques cas de figure rendent nécessaires l’engagement d’un DPO (plus d’information sur Comment se préparer au RGPD ?). Les entreprises concernées qui ne respectent pas cette exigence peuvent se voir infligées d’une amende du montant le plus élevé, entre 10 millions d’euros et 2% de leur chiffre d’affaires. Si une entitée choisit de ne pas nommer un DPO, elle devra établir un rapport des raisons appuyant sa décision, prouvant qu’elle ne correspond à aucun des trois cas de figures mentionnés.

Des mesures techniques et organisationnelles plus strictes

Les entités doivent mettre en place les mesures de sécurité déjà existantes, comme par exemple, celles préconisées par le National Cyber Security Center ou le CIS Critical Security Controls.

Voici quelques exemples des mesures à prendre pour se protéger et éviter les sanctions :

Mesures organisationnelles :

  • Badge Check

    Recruter un Délégué à la protection des données, ou faire appel à un prestataire extérieur;

  • Badge Check

    Incorporer un régime de gestion des risques

  • Badge Check

    Éduquer les utilisateurs et mettre en place des programmes de sensibilisation;

  • Badge Check

    Former les employés à respecter les mesures de sécurité en dehors des lieux de travail

Mesures techniques :

  • Badge Check

    Sécuriser la configuration de tous les systèmes (correctifs de sécurité, système d’inventaire, concevoir une base de référence pour tous les appareils);

  • Badge Check

    Assurer la sécurité des réseaux (contrôles et test de sécurité);

  • Badge Check

    Avoir le contrôle sur les permissions des utilisateurs (les réduire et surveiller leurs activités);

  • Badge Check

    Suivi continu de tous les systèmes et réseaux;

  • Badge Check

    Cryptage des données;

  • Badge Check

    Tokenization des données;

  • Badge Check

    Rendre les données anonymes

  • Badge Check

    Proposer l’utilisation d’un pseudonyme, de sorte qu’il soit impossible de faire le lien entre l’utilisateur et ses données et donc de l’identifier sans information additionnelle;

  • Badge Check

    Renforcer la résistance des systèmes et services de traitement des données;

  • Badge Check

    Permettre à l’entreprise de restaurer l’accès aux données en cas de fuite;

  • Badge Check

    Tester fréquemment l’efficacité des mesures de sécurité.