Que faut-il impérativement savoir sur le règlement général sur la protection des données de l’UE

Le règlement général sur la protection des données de l’UE est désormais une loi à part entière. Si vous n'avez pas suivi tout son déroulement, voici quelques points importants à connaitre.

Avez-vous manqué les récentes actualités à propos de l’approbation finale reçue par le règlement général sur la protection des données de l’UE (General Data Protection Regulation, ou GDPR) ? Certains l’appellent un « tournant de l’ère numérique ».

J'ai suivi avec intérêt l'évolution du projet GDPR au cours des deux dernières années. La version définitive aplanit quelques ambiguïtés et quelques derniers détails entre les différentes versions proposées par le Parlement européen et par le Conseil.

J’ai rassemblé quelques points clés qui devraient éveiller un écho chez les DSI et responsables qui devront se mettre en conformité. N’oubliez pas que le GDPR entrera en vigueur vers la fin de l’année 2017.

Amendes

Nous savons à quoi nous en tenir sur la question des amendes : le GDPR prévoit des amendes à plusieurs paliers.

Par exemple, une société peut se voir infliger une amende s’élevant jusqu’à 2% pour mauvaise tenue des enregistrements (article 28), défaut de notification de l’autorité de surveillance et de la personne concernée à propos d’une violation (articles 31 et 32) ou absence d’évaluations d’impact (article 33).

Les infractions plus sérieuses méritent une amende de 4 %. Celles-ci comprennent la violation des principes de base de la sécurité des données (article 5) et des conditions de consentement des consommateurs (article 7). Ces infractions constituent principalement des violations des concepts essentiels de respect de la vie privée dès la conception promus par la loi.

Les règles du GDPR de l’UE s’appliquent aussi bien aux responsables du traitement qu’aux sous-traitants, c’est-à-dire au « cloud ». C’est si énorme que les fournisseurs de services cloud ne sont pas hors de cause quand il s’agit d’appliquer le GDPR.

Délégué à la protection des données

C’est officiel : il vous faudra probablement un délégué à la protection des données ou DPD. Vous pouvez découvrir les subtilités de la question dans l’article 35.

Si les activités principales de votre entreprise comprennent la « supervision systématique de personnes concernées à grande échelle » ou le traitement à grande échelle de « catégories spéciales » de données (origine ethnique, opinions politiques, convictions religieuses ou philosophiques, données biométriques, médicales ou sexuelles, ou concernant l’orientation sexuelle), vous êtes dans l’obligation d’avoir un DPD.

Aux États-Unis, la fonction la plus proche est celle de responsable de la confidentialité.

En tout cas, les attributions du DPD comprennent le conseil et la supervision de la conformité au GDPR, ainsi que la représentation de l’entreprise lors du contact avec l’autorité de contrôle nationale.

Notification d’atteinte à la protection des données

24 ou 72 heures ? Le gagnant est… 72 heures !

L’article 31 nous dit que les responsables du traitement sont dans l’obligation de notifier l’autorité de supervision appropriée d’une violation de données à caractère personnel dans les 72 heures (au plus tard) suivant la découverte de l’exposition si celle-ci entraîne des risques pour le consommateur. Mais même si la gravité de l’exposition reste limitée, la société doit néanmoins conserver des enregistrements internes à propos de l’incident.

Selon le GDPR, la destruction, la perte ou l’altération accidentelle ou illicite, la divulgation ou l’accès non autorisés aux données à caractère personnel (le terme de l’UE pour les IPI) sont considérés comme des violations.

Remarquez l’accent que j’ai mis sur « non autorisés ». D’après ma compréhension du GDPR, cela signifie que si un collaborateur voit des données qui ne relèvent pas de sa description de poste, le cas pourrait compter comme une violation.

Bien sûr, cela ne représente aucun problème pour votre entreprise, car votre service informatique a effectué un examen approfondi des listes d’accès aux fichiers et a mis en place des contrôles basés sur les rôles. 

Vous pouvez en savoir plus sur ce que vous devez fournir à l’autorité de contrôle des données dans notre article Qu’est-ce que le règlement général sur la protection des données de l’UE ?

Conclusion : La notification du GDPR va au-delà de dire simplement qu’un incident est survenu.  Vous devrez indiquer les catégories de données, les enregistrements affectés et le nombre approximatif de personnes concernées. Et cela signifie qu’il vous faudra disposer d’informations détaillées sur ce que faisaient les pirates externes et internes.

Les sous-traitants disposent d’une marge de manœuvre un peu moins étroite : ils sont censés notifier l’entreprise à laquelle ils fournissent des services (le responsable du traitement) « sans retard indu ».

Dans quelles conditions une entreprise doit-elle informer la personne concernée d’une violation ?  Vous trouverez les détails dans l’article 32. Mais si une entreprise a chiffré les données ou pris d’autres mesures de sécurité qui les rendent illisibles, elle ne sera pas tenue d’informer la personne concernée.

Pour les pays à l’extérieur de l’UE

Nous avons tiré la sonnette d’alarme en ce qui concerne l’extra-territorialité depuis déjà plusieurs mois. Avec la finalisation du GDPR, nous pouvons dire avec certitude que la nouvelle loi s’applique à votre entreprise même si elle ne fait que vendre des biens ou des services dans l’Union européenne.

En d’autres termes, même si vous n’avez aucune présence formelle dans la zone UE, mais que vous recueillez et stockez les données personnelles de citoyens européens, le long bras du GDPR peut vous atteindre.

Comme beaucoup l’ont fait remarquer, la condition d’extra-territorialité (article 3) concerne tout particulièrement les entreprises de commerce électronique. 

Forums de médias sociaux, sites de multipropriété, d’artisanat ou clubs de bières du monde, vous voici prévenus !

Autres ressources

Toutes les permutations du GDPR et les manières dont elles s’appliquent s’avèrent trop complexes pour être abordées en quelques articles de blog.  Bien sûr, votre délégué à la protection des données reste la personne vers laquelle vous tourner pour demander conseil, parallèlement aux experts juridiques extérieurs à votre entreprise.

Et en parlant des cabinets de conseil et des avocats, il est compréhensible qu’ils soient obsédés par la question.

Heureusement, ils offrent des informations gratuites et très pratiques sur leurs pages Web publiques. Voici mes propres sources/cabinets de conseil préférés : Bird and Bird, le blog de Privacy and Security de Daniel Solove, Hogan Lovells et BakerHostetler.