Le RGPD est un règlement qui oblige les entreprises à protéger les données personnelles rgpd et la vie privée des citoyens européens pour les transactions qui ont lieu dans les États membres de l’UE. Le non-respect de cette obligation pourrait coûter cher aux entreprises. Voici ce que toute entreprise qui fait des affaires en Europe doit savoir sur le RGPD.
Les entreprises qui collectent des données sur les citoyens des pays de l’Union européenne (UE) doivent se conformer à de nouvelles règles strictes en matière de protection des données des clients. Le règlement général sur la protection des données (General Data Protection Regulation, GDPR) établit une nouvelle norme en matière de droits des consommateurs concernant leurs données, mais les entreprises seront mises à rude épreuve lorsqu’elles mettront en place des systèmes et des processus pour assurer le respect de ces règles, et notamment pour les petites entreprises.
La conformité suscitera certaines inquiétudes et de nouvelles attentes de la part des équipes de sécurité. Par exemple, le RGPD adopte une vision large de ce qui constitue des informations d’identification personnelle. Les entreprises auront besoin du même niveau de protection pour des éléments tels que l’adresse IP d’un individu ou les données des cookies que pour le nom, l’adresse et le numéro de sécurité sociale.
Le RGPD laisse beaucoup de place à l’interprétation. Il indique que les entreprises doivent fournir un niveau « raisonnable » de protection des données personnelles, par exemple, mais ne définit pas ce qui est « raisonnable ». Cela donne à l’organe directeur du RGPD une grande marge de manœuvre pour l’imposition d’amendes en cas de violation des données et de non-conformité.
Le temps presse pour respecter le délai, c’est pourquoi voici une compilation sur ce que toute entreprise doit savoir sur le RGPD, ainsi que des conseils pour répondre à ses exigences. De nombreuses exigences ne sont pas directement liées à la sécurité de l’information, mais les processus et les changements de système nécessaires pour s’y conformer pourraient affecter les systèmes et protocoles de sécurité existants.
Qu’est-ce que le RGPD ?
Le Parlement européen a adopté le RGPD en avril 2016, en remplacement d’une directive sur la protection des données obsolète datant de 1995. Elle contient des dispositions qui obligent les entreprises à protéger les données personnelles et la vie privée des citoyens européens pour les transactions qui ont lieu dans les États membres de l’UE. Le RGPD réglemente également l’exportation de données personnelles en dehors de l’UE.
Les dispositions sont cohérentes dans les 28 États membres de l’UE, ce qui signifie que les entreprises n’ont qu’une seule norme à respecter au sein de l’UE. Toutefois, cette norme est assez élevée et la plupart des entreprises devront faire des investissements importants pour la respecter et la gérer.
Selon un rapport Ovum, environ deux tiers des entreprises américaines estiment que le RGPD les obligera à repenser leur stratégie en Europe. Un nombre encore plus important (85 %) estime que le RGPD les mettra en situation de désavantage concurrentiel par rapport aux entreprises européennes.
Pourquoi le RGPD existe-t-il ?
La réponse courte à cette question est l’inquiétude du public concernant la vie privée. L’Europe en général a depuis longtemps des règles plus strictes sur la manière dont les entreprises utilisent les données personnelles de ses citoyens. Le RGPD remplace la directive européenne sur la protection des données, qui est entrée en vigueur en 1995. C’était bien avant que l’internet ne devienne le centre d’affaires en ligne qu’il est aujourd’hui. Par conséquent, la directive est dépassée et ne traite pas des nombreuses manières dont les données sont stockées, collectées et transférées aujourd’hui.
Quelle est la réelle préoccupation du public en matière de protection de la vie privée ? Elle est importante et s’accroît à chaque nouvelle violation de données de grande envergure. Selon le rapport de la RSA sur la confidentialité et la sécurité des données, pour lequel la RSA a interrogé 7 500 consommateurs en France, en Allemagne, en Italie, au Royaume-Uni et aux États-Unis, 80 % des consommateurs ont déclaré que la perte de données bancaires et financières était une préoccupation majeure. La perte d’informations de sécurité (par exemple, les mots de passe) et d’informations sur l’identité (par exemple, les passeports ou les permis de conduire) a été citée comme une préoccupation par 76 % des personnes interrogées.
Une statistique alarmante pour les entreprises qui traitent les données des consommateurs est le fait que 62 % des personnes interrogées dans le cadre du rapport de la RSA déclarent qu’elles blâmeraient l’entreprise pour la perte de leurs données en cas de violation, et non le hacker. Les auteurs du rapport concluent que « à mesure que les consommateurs sont mieux informés, ils attendent plus de transparence et de réactivité de la part des gestionnaires de leurs données ».
Le manque de confiance dans la manière dont les entreprises traitent leurs informations personnelles a conduit certains consommateurs à prendre leurs propres contre-mesures. Selon le rapport, 41 % des personnes interrogées ont déclaré qu’elles falsifiaient intentionnellement des données lors de l’inscription à des services en ligne. Les préoccupations de sécurité, la volonté d’éviter le marketing non désiré ou le risque de voir leurs données revendues figuraient parmi leurs principales préoccupations.
Le rapport montre également que les consommateurs ne pardonneront pas facilement à une entreprise lorsqu’une violation exposant leurs données personnelles se produit. Soixante-douze pour cent des personnes interrogées aux États-Unis ont déclaré qu’elles boycotteraient une entreprise qui semble ne pas tenir compte de la protection de leurs données. Cinquante pour cent des personnes interrogées ont déclaré qu’elles seraient plus enclines à faire leurs achats auprès d’une entreprise qui pourrait prouver qu’elle prend la protection des données au sérieux.
« Alors que les entreprises poursuivent leurs transformations numériques, en utilisant davantage les biens et services numériques et les données importantes, elles doivent également être responsables de la surveillance et de la protection de ces données au quotidien« , conclut le rapport.
Quels types de données relatives à la vie privée le RGPD protège-t-il ?
- Les informations de base sur l’identité, telles que le nom, l’adresse et les numéros d’identification
- Les données web telles que l’emplacement, l’adresse IP, les données des cookies et les étiquettes RFID
- La santé et données génétiques
- Les données biométriques
- Les données raciales ou ethniques
- Les opinions politiques
- L’orientation sexuelle
Quelles sont les entreprises concernées par le RGPD?
- Toute entreprise qui stocke ou traite des informations personnelles sur les citoyens de l’UE au sein des États membres doit se conformer au RGPD, même si elle n’a pas de présence commerciale dans l’UE. Les critères spécifiques auxquels les entreprises doivent se conformer sont les suivants :
- Une présence dans un pays de l’UE.
- Aucune présence dans l’UE, mais elle traite les données personnelles des résidents européens.
- Plus de 250 employés.
Moins de 250 employés, mais son traitement des données a une incidence sur les droits et les libertés des personnes concernées, n’est pas occasionnel ou comprend certains types de données personnelles sensibles. Cela signifie en fait la quasi-totalité des entreprises. Une enquête de PwC a montré que 92 % des entreprises américaines considèrent le RGPD comme une priorité absolue en matière de protection des données.
Une nouvelle enquête menée par Propeller Insights et sponsorisée par Netsparker Ltd. a demandé aux dirigeants quels secteurs seraient les plus touchés par le RGPD. La plupart (53 %) ont estimé que le secteur technologique serait le plus touché, suivi par les détaillants en ligne (45 %), les sociétés de logiciels (44 %), les services financiers (37 %), les services en ligne/SaaS (34 %) et les produits de détail/consommation (33 %).
Qui, au sein de mon entreprise, sera responsable de la conformité ?
Le RGPD définit plusieurs rôles qui sont responsables de la conformité : le responsable du traitement des données, le sous-traitant et le délégué à la protection des données (DPO). Le responsable du traitement des données définit la manière dont les données personnelles sont traitées et les objectifs pour lesquels elles sont traitées. Le responsable du traitement est également chargé de veiller à ce que les contractants extérieurs respectent les règles.
Les sous-traitants peuvent être les groupes internes qui tiennent et traitent les dossiers de données à caractère personnel ou toute entreprise extérieure qui effectue tout ou partie de ces activités. Le RGPD tient les sous-traitants responsables des violations ou du non-respect des règles. Il est donc possible que votre entreprise et votre partenaire de traitement, tel qu’un fournisseur de services en nuage, soient tous deux responsables de sanctions, même si la faute incombe entièrement au partenaire de traitement.
Le RGPD exige que le contrôleur et le sous-traitant désignent un DPO pour superviser la stratégie de sécurité des données et le respect du RGPD. Les entreprises sont tenues de désigner un DPO RGPD si elles traitent ou stockent de grandes quantités de données relatives aux citoyens de l’UE, si elles traitent ou stockent des données personnelles particulières, si elles surveillent régulièrement les personnes concernées ou si elles sont une autorité publique. Certaines entités publiques, telles que les services répressifs, peuvent être exemptées de l’obligation de désigner un DPO.
Selon l’enquête Propeller Insights, 82 % des entreprises interrogées déclarent avoir déjà un DPO dans leur personnel, bien que 77 % d’entre elles prévoient d’en engager un nouveau ou de le remplacer avant la date limite du 25 mai. Cette embauche ne s’arrête pas au DPO. Environ 55 % des entreprises ayant répondu à l’enquête ont déclaré avoir recruté au moins six nouveaux employés pour se mettre en conformité avec le RGPD.
Comment le RGPD affecte-t-il les contrats avec les tiers et les clients ?
Le RGPD impose une responsabilité égale aux responsables du traitement des données (l’organisation qui possède les données) et aux sous-traitants (les organisations extérieures qui aident à gérer ces données). Un sous-traitant tiers non conforme signifie que votre organisation n’est pas en conformité. Le nouveau règlement prévoit également des règles strictes en matière de signalement des infractions, que tous les acteurs de la chaîne doivent être en mesure de respecter. Les organisations doivent également informer les clients de leurs droits en vertu du RGPD.
Cela signifie que tous les contrats existants avec les processeurs (par exemple, les fournisseurs de services en nuage, les fournisseurs de SaaS ou les fournisseurs de services de paie) et les clients doivent préciser les responsabilités. Les contrats révisés doivent également définir des processus cohérents pour la gestion et la protection des données, ainsi que pour la notification des violations.
« L’exercice le plus important se situe du côté de l’approvisionnement de la maison – vos fournisseurs tiers, vos relations d’approvisionnement qui traitent les données en votre nom« , déclare Mathew Lewis, responsable mondial des pratiques bancaires et réglementaires chez le prestataire de services juridiques Axiom. « Il y a tout un groupe de fournisseurs qui ont accès à ces données personnelles et le RGPD indique très clairement que vous devez vous assurer que tous ces tiers adhèrent au RGPD et traitent les données en conséquence« .
Les contrats des clients doivent également refléter les changements réglementaires, explique M. Lewis. « Les contrats clients prennent différentes formes, qu’il s’agisse de clics en ligne ou d’accords formels dans lesquels vous vous engagez sur la manière dont vous consultez, accédez et traitez les données« .
Avant que ces contrats puissent être révisés, les chefs d’entreprise, les équipes informatiques et de sécurité doivent comprendre comment les données sont stockées et traitées et convenir d’un processus de déclaration conforme. « Un exercice assez important est nécessaire pour les groupes technologiques, le CISO et l’équipe de gouvernance des données afin de comprendre quelles données s’inscrivent dans l’entreprise, où elles sont stockées ou traitées, et où elles sont exportées en dehors de l’entreprise. Une fois que vous avez compris ces flux de données et leur impact sur l’entreprise, vous pouvez commencer à identifier les fournisseurs sur lesquels vous devez vous concentrer le plus, à la fois du point de vue de la sécurité de l’information, de la gestion de ces relations à l’avenir et de la façon dont vous les mémorisez dans le contrat lui-même », explique M. Lewis.
Le RGPD pourrait également changer la mentalité des entreprises et des équipes de sécurité vis-à-vis des données. La plupart des entreprises considèrent leurs données et les processus qu’elles utilisent pour les exploiter comme un atout, mais cette perception va changer, explique M. Lewis. « Étant donné le consentement explicite du RGPD et le fait que les entreprises doivent être beaucoup plus granulaires dans leur compréhension des données et des flux de données, il y a tout un ensemble de responsabilités qui existent maintenant avec l’accumulation de données », dit Lewis. « C’est un état d’esprit assez différent tant sur le plan juridique que sur celui de la conformité, mais peut-être plus important pour la façon dont les entreprises pensent à l’accumulation et à l’utilisation de ces données et pour les groupes de sécurité de l’information et la façon dont ils pensent à la gestion de ces données«
« Les données quittent l’entreprise de toutes sortes de façons », déclare M. Lewis. « Alors que le CISO et les groupes technologiques doivent être en mesure de suivre tout cela, vous devez également mettre en place une protection« . Ces protections doivent être précisées dans le contrat afin que les entreprises extérieures comprennent ce qu’elles peuvent et ne peuvent pas faire avec les données.
Lewis fait remarquer qu’en passant par le processus de définition des obligations et des responsabilités, il prépare une entreprise à gérer opérationnellement le respect du RGPD. Si l’un de vos fournisseurs vous dit : « Vous avez été piraté hier soir« , savaient-ils qui appeler et comment répondre dans le cadre du respect des exigences réglementaires », dit-il.
Le délai de 72 heures prévu par le RGPD pour signaler une infraction fait qu’il est particulièrement important que les vendeurs sachent comment signaler correctement une infraction. « Si un fournisseur a été piraté et que vous faites partie des milliers de clients, est-ce qu’il prévient votre service d’achat ou un chargé de compte ou quelqu’un des comptes clients ? Cela peut se faire de toutes sortes de façons« , explique M. Lewis.
Vous voulez que le contrat définisse clairement le cheminement de l’information jusqu’à la personne de votre organisation chargée de signaler la violation. « Un régulateur ne va pas dire que vous n’auriez pas dû avoir une violation. Il vous dira que vous auriez dû mettre en place les politiques, les procédures et la structure d’intervention nécessaires pour résoudre rapidement le problème« , explique M. Lewis.
Les grandes entreprises peuvent avoir des milliers de contrats à mettre à jour. Ce qui complique encore les choses, c’est que cela doit être fait tard dans le processus de mise en conformité. Avant de pouvoir définir les responsabilités, vous devez savoir exactement quelles sont les données dont vous disposez, où et comment elles sont traitées, et quels sont les flux de données. « De nombreuses institutions se sont donc précipitées vers l’échéance pour tenter de régler les problèmes techniques et opérationnels et ont dû rattraper le temps perdu pour mettre en place le bon contrat afin de faire respecter la loi. Beaucoup d’entreprises n’ont pas renégocié les termes de leurs contrats « .
