GDPR (RGDP): le guide le plus détaillé pour la conformité
Exigences, directives, stratégies opérationnelles, tout ce dont vous avez besoin pour être au courant et prêt pour la RGDP.
Évitez les infractions et les pénalités coûteuses.
La route vers la
conformité GDPR
1. Ç' est quoi la GDPR/RGDP?
Le règlement général de l'UE sur la Protection des Données (RGPD) est un règlement publié par la Commission Européenne, le Parlement Européen et le Conseil des Ministres de l'Union Européenne dans le but de renforcer et d'unifier la Protection des Données au sein de l'Union Européenne. C'est le changement le plus important dans la réglementation de la confidentialité des données dans les derniers 20 ans, selon le portail RGPD. Il a fallu quatre années de préparation et de débat jusqu'à son approbation finale par le Parlement Européen le 14 avril 2016.
Le Règlement Générale pour la Protection des Données (RGPD fait une grande déclaration sur les données privées des individus et leur droit de demander aux Contrôleurs et aux Processeurs de Données de supprimer, corriger et transmettre leurs données. En conséquence, le RGPD est livré avec des changements significatifs par rapport à la directive sur la Protection des Données 95/46 / CE impliquant des changements opérationnels dans les organisations. Ceux-ci imposeront des amendes plus strictes en cas de défaut de protection adéquate des citoyens de l'UE.
2. Préparation pour la GDPR
Les organisations ont commencé à ressentir la pression parce que la loi va s'appliquer prochainement. Beaucoup d'entre eux sont loin d'être proches de la conformité RGPD et les changements qu'ils doivent appliquer exigent un effort considérable à tous les niveaux de l'entreprise. En fait, à la fin de 2016, une enquête menée par AvePoint sur 223 répondants d'organisations multinationales a révélé que seulement 26% d'entre eux de ont des registres de traitement et de transfert des données, seulement 33% classent les données et seulement 10% des personnes utilisent classication automatique des données Les pourcentages sont préoccupants car tous sont des exigences essentielles du RGPD. L'étude a également montré que les entreprises sont à différents stades de préparation pour la prochaine réglementation, avec des progrès lents. Par exemple, certains ont nommé un DPD, tandis que d'autres évaluent encore l'impact du GDPR sur leurs opérations.
Le but de ce guide est d'enlever un peu la pression pour les organisations, en proposant des stratégies opérationnelles pour la préparation de la RGPD.
3. Les articles clés et leur impact sur les entreprises
Compétence étendue
La RGPD définit clairement l'applicabilité territoriale, en précisant qu'il s'applique à toutes les organisations collectant et traitant des données personnelles de personnes résidant dans l'UE, quelle que soit la localisation de l'entreprise, peu importe si le traitement a lieu dans l'Union Européenne ou non. Par exemple, une entreprise du siège aux États-Unis, offrant des biens ou des services aux citoyens de l'UE, relève de la compétence de la RGPD.
Autorisation
Plus d'avis de consentement évasif. Toutes les organisations seront obligées d'obtenir l' autorisation des individus pour stocker et utiliser leurs données et elles doivent expliquer comment elles sont utilisées. À tout moment après l'entrée en vigueur du règlement, les collecteurs de données doivent être en mesure de prouver que le consentement a été obtenu. Pour les particuliers, il sera plus facile de retirer leur approbation.
Notification de violation obligatoire
Les entreprises sont tenues de notifier la CNIL dans les 72 heures suivant la découverte de la violation, sauf si la violation est susceptible de «porter atteinte aux droits et à la liberté des individus». La notification doit inclure des informations spécifiques sur la nature de la violation de données, le nombre et le type d'enregistrements piratés, le nom du responsable de la protection des données, les mesures prises pour atténuer les risques et d'autres détails.
Data Protection Officers (DPO)
Les Contrôleurs de Données et les Processeurs de Données sont tenus de nommer un Data Protection Officer. Qui peut assumer le rôle du délégué à la protection des données et ce dont il est responsable sont détaillés aux articles 37 à 39 de la RGPD. En bref, le DPO peut être un membre du personnel de l'organisation ou peut être sous contrat pour ces services.
Toutes les entreprises ne sont pas obligées d'avoir un DPO, mais seulement les " Contrôleurs et les Processeurs dont les activités principales consistent en des opérations de traitement nécessitant un suivi régulier et systématique des personnes concernées à grande échelle ou de catégories particulières de données ou de données relatives aux condamnations pénales et infractions", selon EUGDPR.org. Les principales responsabilités du DPO sont d'assurer l'application du RGPD, de tenir un registre des opérations de traitement impliquant des données privées, de fournir des conseils et d'informer les Contrôleurs et les Processeurs de leurs obligations concernant la RGPD.
Droit d'accès
Cet article est une excellente base vers la transparence, donnant aux individus le droit de demander des informations aux organisations sur les données personnelles les concernant, où elles sont traitées, et dans quel but. Les entreprises doivent être en mesure de fournir une copie des dossiers privés des personnes en format électronique.
Droit à l'oubli
Appelé « droit à l'oubli », cet article permet aux citoyens de l'UE de demander au Contrôleur de supprimer leurs données personnelles et, plus que cela, pour arrêter le partage avec des tiers, qui sont également obligés d'arrêter son traitement. L'article 17 pour le GDPR inclut une liste de situations où le droit à l'oubli s'applique: les données personnelles ne sont plus nécessaires par rapport aux finalités pour lesquelles elles ont été collectées ou traitées, l'individu retire son consentement, les données ont été illégalement traitées et d' autres.
La portabilité des données
Dans le cas où un individu souhaite transmettre ses données d'un contrôleur à un autre, cet article du GDPR lui donne le droit et le cadre pour le faire. Par conséquent, les organisations doivent être en mesure de fournir des données personnelles dans un «format couramment utilisé et lisible par machine» si les individus le demandent.
Confidentialité par conception
Tout comme la «sécurité par conception», la confidentialité par conception consiste à inclure la sécurité de l'information dans tous les processus, systèmes, produits ou services dès le départ, pour avoir des mises en œuvre de protection des données cohérentes et d'éviter les failles causées par des ajouts de sécurité plus loin dans la ligne..La clé ici est que la confidentialité par conception est une exigence légale avec le RGPD, pas seulement une recommandation.
4. Les Pénalités
Selon la nature, la gravité, la durée de l'infraction, le nombre de personnes concernées, le niveau de dommages et plusieurs autres facteurs, les sanctions sont les suivantes:
• Jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2% du chiffre d'affaires annuel total de l'exercice précédent, selon le montant le plus élevé
• Jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4% du chiffre d'affaires annuel total de l'exercice précédent, selon le montant le plus élevé
5. Deux étapes importants dans le processus de conformité GDPR
Pour être en mesure d'appliquer les règles renforcées et plus strictes, les organisations doivent effectuer un audit de leurs solutions de sécurité des données et des processus de mise en œuvre actuelles et apres s'appuyer sur elles. L'audit doit révéler quelles données sont collectées auprès des individus, s'il existe des procédures de consentement appropriées, où sont stockés les détails privés, qui a accès, comment l'intégrité des données privées est assurée, etc. Sur la base des informations,un plan solide d'amélioration de la nouvelle réglementation peut être défini et partagé avec toutes les parties concernées.
Voyons à quoi ressemblera le plan de jeu afin de maximiser vos chances d'atteindre la ligne d'arrivée sans dépenser trop de ressources.
Exécution disciplinée
La stratégie ne vaut rien sans une exécution disciplinée. Savoir quelles solutions de sécurité et de gestion des données doivent être sélectionnées et mises en œuvre pour assurer la conformité et la sécurité n'est pas aussi facile qu'il semble. De nombreux facteurs interviennent et le facteur humain est le plus complexe. Un exemple simple serait le délégué à la Protection des Données qui doit être nommé. Les entreprises ont une décision difficile à prendre, compte tenu du niveau de responsabilité attribué à un DPO. Le responsable doit veiller à ce que la conformité à la protection des données soit respectée, de sorte que son rôle soit crucial et difficile, qu'il s'agisse de traiter avec les employés d'un côté et avec les responsables des départements de l'autre.
Aussi difficile à exécuter c' est l'article se référant aux transferts croisés frontières qui se prolongent plus loin que les frontières physiques où sont le siège ou les succursales d'une entreprise. Une entreprise opérant en Allemagne peut avoir des clients en France, aux États-Unis ou dans d' autre pays. Cela vient avec une grande responsabilité en ce qui concerne la sécurité des données des individus. Le RGPD s'appliquera au traitement des données personnelles des personnes résidant dans l'UE, même si le responsable du traitement ou le transformateur n'est pas situé dans l'UE. Donc, si votre entreprise n'est pas dans l'Union Européenne, vous pouvez toujours être soumis à cette réglementation.
Sensibilisation
Les Responsables de Sécurité, les Directeurs Informatiques, les Directeurs Généraux, les Chefs d'Entreprise, etc. doivent être informés des changements légaux imposés par le RGPD et doivent s' assurer qu'ils les traduisent en mesures simples et vont les appliquer pour respecter cette réglementation.
Plus les objectifs sont clairs, plus tôt tout le monde comprendra quel est son rôle et agira en conséquence. Tous les directeurs de département, les hauts responsables et les autres décideurs doivent lire attentivement le RGPD, ou demander le conseil d' un avocat concernant les obligations énoncées dans le règlement.
La terminologie utilisée dans ce genre de règlement est généralement difficile à comprendre, alors demander l'avis d'un avocat est recommandé, sinon obligatoire. La pleine connaissance des obligations de l'entreprise en matière de protection des données privées constitue une base solide pour les prochaines étapes.
Traiter la conformité RGPD comme un projet, où la phase d'initiation et de planification sont en train de définir.
Obtenez les conseils d'un avocat.
Votre tâche consiste à identifier les données que vous stockez et traitez pour les citoyens européens, leur emplacement, leur cheminement du point A au point B, les systèmes traités, etc. Vous pouvez ainsi réaliser si vous avez les outils nécessaires pour protéger les données privées, ou quels outils vous pourriez avoir besoin pour vous aider à atteindre la conformité RGPD.
Un véritable changeur de jeu sera le principe de «Protection des Données par Conception et par Défaut». Cela nécessitera des services ou des produits pour inclure des caractéristiques de confidentialité et de sécurité dès le début du concept et du développement. Cela devrait être intéressant en particulier pour les développeurs d'applications mobiles et le secteur IT.
Le nouveau règlement motivera grandement les fournisseurs à aligner la sécurité des données sur l'innovation et à créer non seulement des produits ingénieux, mais aussi des produits sécurisés.
Au-delà de la référence de produit ou de service, le principe de confidentialité par conception doit également être appliqué aux processus, conformément aux règles RGPD. En principe, pour tout processus de l'organisation, n' importe si c' est une communication opérationnelle, logistique, interne, ressources humaines, ainsi que tout autre processus impliquant des données privées, les entreprises doivent prendre en compte la sécurité avec la même importance que tout autre élément. À titre d'exemple, lors de la création d'un service des ressources humaines.
6. Comment les solutions Endpoint Protector vous aider à obtenir plus rapidement la conformité GDPR
Le Règlement Général sur la Protection des Données s peut causer des maux de tête graves jusqu'à la conformité totale, mais après cette étape, les organisations seront en mesure de voir comment les avantages l'emportent sur les efforts. L'entrée sur de nouveaux marchés en Europe sera plus facile pour les entreprises car la réglementation en matière de protection des données sera la même que dans leur pays d'origine. La Commission Européenne illustre dans un communiqué comment les entreprises peuvent réduire leurs coûts grâce à cette réforme.
Une chaîne de magasins a son siège social en France et des magasins franchisés dans 14 autres pays de l'UE. Chaque magasin collecte les données relatives aux clients et les transfère au siège social en France pour traitement ultérieur.
Avec les règles actuelles:Les lois françaises sur la Protection des Données s'appliqueraient au traitement effectué par le siège social, mais les magasins individuels devraient toujours se présenter à leur Autorité Nationale de Protection des Données pour confirmer qu'ils traitaient les données conformément aux lois nationales du pays où ils se trouvaient. Cela signifie que le siège social de l'entreprise devra consulter les avocats locaux pour toutes ses succursales afin d'assurer la conformité à la loi. Pour cela, les coûts totaux pourraient dépasser 12 000 euros.
Avec la réforme de la Protection des Données:La loi sur la Protection des Données dans les 14 pays de l'UE sera la même - une Union Européenne - une seule loi. Cela éliminera le besoin de consulter les avocats locaux pour assurer la conformité locale pour les magasins franchisés. Le résultat est une économie de coûts directs et une sécurité juridique.
7. Conclusions
Le GDPR cause beaucoup de bruit en particulier parmi les entreprises européennes. Beaucoup ne savent pas encore dans quelle position ils sont, s'ils sont un Contrôleur ou un Processeur. Beaucoup d'entreprises retardent le début de la conformité en étant submergées par les changements nécessaires et d'autres ne sont simplement pas conscientes des implications.
Quel que soit votre positionnement, en mai 2018, tout doit être en place et, à partir de ce moment, vous devez pouvoir prouver à tout moment que vous êtes conforme et que vous menez en toute sécurité votre activité sans mettre en danger la vie privée de vos employés, clients, partenaires et autres parties prenantes.
Si vous n'avez pas commencé à travailler sur la conformité RGPD, la sensibilisation à travers les unités d'affaires est la première chose à réaliser, suivie par un audit et une excellente exécution.
Choisissez soigneusement quels logiciels peuvent vous aider à chaque étape du processus et complétez toujours la mise en œuvre du logiciel avec les particularités de votre organisation, le cadre légal et le facteur humain.
Bon, comment Endpoint Protector peut vous aider à atteindre la conformité GDPR?
En bref:
En plus de détails:
Essentiel d'audit
Dans les premières phases du processus de conformité RGPD, vous pouvez utiliser le DLP et Device Control Endpoint Protector (USB et d'autres périphériques amovibles) avec des stratégies définies sur le rapport uniquement, de sorte que les données transférées en dehors de l'entreprise sont suivies et signalé. Obtenez des informations précieuses sur les utilisateurs qui transfèrent des données sensibles, telles que des informations personnelles, des numéros de carte de crédit, des numéros de sécurité sociale et d'autres informations confidentielles.
Restrictions de mouvement des données
Une fois l'audit finalisé, vous devez renforcer la sécurité et traiter les vulnérabilités. Les stratégies de surveillance Endpoint Protector peuvent être converties en stratégies restrictives, en bloquant les transferts de fichiers indésirables, les données non autorisées, les copiées / collées, les captures d'écran, etc., selon les différents canaux de transfert et les utilisateurs, ordinateurs et les groupes qui faisant partie du système organisationnel. Puisque les données privées des individus sont si cruciales à protéger selon le règlement mis à jour, elles peuvent être protégées contre la fuite et le vol grâce aux fonctionnalités de filtrage de contenu et de contrôle USB disponibles dans le DLP Endpoint Protector.
Protection pour les réseaux multiplateformes
Le RGPD stipule que la confidentialité des données doit être assurée, sans détails sur la plate-forme, si elle est Windows, macOS ou Linux, iOS, Android, Windows Phone, etc. ou les canaux de sortie - e-mail, le partage de fichiers en nuage, des périphériques amovibles, etc. Ce n'est pas important, après tout. L'essentiel est que les données doivent être sécurisées, peu importe quoi. Par conséquent, pour tout outil de sécurité des données que vous choisissez d'implémenter, assurez-vous qu'il couvre l'intégralité de votre infrastructure, tous les terminaux, appareils mobiles ou points de sortie.
Commencez dès aujourd'hui!
Recevez votre dernière dose de
nouvelles et d'informations sur RGPD
nouvelles et d'informations sur
