Cinq choses à savoir sur la nouvelle législation européenne relative à la protection des données
Les entreprises peuvent dès à présent anticiper certaines mesures à venir dans le cadre de la mise en oeuvre de la réforme européenne de la protection des données.
Les régulateurs européens sont sérieux en ce qui concerne la réforme de la protection des données. Ils ont presque finalisé le General Data Protection Regulation (règlement général sur la protection des données, GDPR). Celui-ci constitue une reformulation des règles existantes de protection des données et de protection de la vie privée définies dans l’ancienne Directive de Protection des données. Un nouveau monde européen de données s’annonce !
Beaucoup de spécialistes ont abordé le long parcours épique du au cours des deux dernières années. Mais avec le Conseil de l’Union européenne (une sorte d’organe exécutif de l’UE) approuvant sa propre version, la scène est prête pour trouver un compromis avec le Parlement européen lors d’un débat final. Le GDPR sera probablement approuvé d’ici la fin de l’année 2015 (ou le début de l’année 2016) et entrera en vigueur en 2017. Les entreprises, dont les multinationales américaines détenant des informations personnelles de citoyens européens, devront bientôt se conformer à des règles plus strictes pour prouver qu’elles protègent activement les données personnelles qui leur ont été confiées.
Selon la plus récente proposition du Conseil, nous avons désormais une idée assez précise de
ce à quoi le GDPR final ressemblera. Il nous semble donc essentiel pour les entreprises de commencer à réfléchir
aux cinq points ci-dessous.
1.
Mettre en place des principes de
respect de la vie privée dès la conception
Développé par Ann Cavoukian, ancien commissaire à
l’information et à la protection de la vie privée de l’Ontario, Privacy by
Design (PbD) a eu une grande influence sur les experts en matière de sécurité,
les responsables politiques et les régulateurs. Cavoukian croit que Big data et vie privée peuvent
coexister. Pour l’essentiel, son
message dit que vous pouvez prendre quelques mesures de base pour implémenter
la vision PbD : minimiser les
données recueillies (en particulier les informations personnelles) auprès des
consommateurs, ne pas conserver les données personnelles au-delà de la durée
prévue à l’origine, et donner aux consommateurs l’accès à leurs données ainsi
que leur propriété.
L’UE aime aussi PbD. De nombreuses références y sont faites dans l’article 23 et dans beaucoup d’autres textes de la nouvelle réglementation. Il n’est pas très difficile de déduire que si vous implémentez PbD, vous avez maîtrisé le GDPR.
Vous avez besoin de vous mettre rapidement au diapason ? Utilisez cet aide-mémoire pour comprendre les principes de PbD et vous
guider dans vos principales décisions en matière de sécurité des données.
2.
Le droit d’être oublié
Le tant controversé « droit à l’oubli numérique » deviendra
bientôt la loi de l’UE. Pour la
plupart des entreprises, c’est véritablement le droit des consommateurs
d’effacer leurs données.
Abordé dans l’article 17 du GDPR proposé, il stipule que « Le (…) responsable du traitement est tenu d’effacer les données à caractère personnel dans les meilleurs délais, notamment en ce qui concerne les données à caractère personnel qui sont collectées lorsque la personne concernée a le statut d’enfant. Et la personne concernée a le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant, dans les meilleurs délais ».
Je crois que cela énonce clairement le droit à l’effacement.
Qu’advient-il si le responsable du traitement des
données transmet les données personnelles à certaines tierces parties telles
qu’un service de stockage ou de traitement dans le cloud ? La réglementation européenne continue de
s’appliquer : en tant que
sous-traitant, le service cloud devra aussi effacer les données personnelles
lorsque le responsable du traitement des données lui demandera de le faire.
3.
Les multinationales américaines
doivent protéger les données Traduction : le consommateur ou sujet concerné par les données peut demander
l’effacement des données détenues par les entreprises à tout instant. Dans l’UE, les données appartiennent au
peuple !
Il convient de souligner que nous avons plusieurs fois rappelé aux grandes multinationales américaines recueillant des données auprès de citoyens européens de mettre en place des stratégies de sécurité des données comme si leurs serveurs se trouvaient dans l’UE.
Connu sous le nom « d’extraterritorialité », ce principe est abordé au début du GDPR proposé. Pour ceux qui ont une fibre juridique, voici le langage employé dans toute sa beauté bureaucratique :
La circulation transfrontière des données à caractère personnel […] est nécessaire au développement de la coopération internationale et du commerce mondial […] lorsque ces données sont transférées de l’Union vers des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne soit pas amoindri.
Il existe certains problèmes et certaines
difficultés relatives à la manière dont cela sera appliqué. Mais avec les États-Unis disant que leurs lois de stockage s’appliquent aux
données situées sur des serveurs irlandais, il semble tout à fait naturel que
l’UE effectue le même type de demande à propos des données de ses citoyens
détenues aux États-Unis !
4.
Quelle amende devrez-vous
payer ?
Pour les infractions sérieuses (telles que le traitement de données sensibles sans consentement ou autre motif juridique), les régulateurs peuvent imposer des pénalités. Il existe des différences entre la version du Conseil de l’Union européenne et celle du Parlement. Le Conseil autorise des amendes s’élevant jusqu’à 1 million d’euros ou 2 % du CA annuel de la société. Les amendes prévues par le Parlement s’avèrent plus sévères et atteignent 100 millions d’euros ou 5 % du CA annuel. Ces deux organes devront trouver un compromis au cours des prochains mois.
Indépendamment de la loi finale, le plus important
est que les pénalités du GDPR représenteront des sommes sérieuses pour les
multinationales américaines
5.
Envisagez de désigner ou d’embaucher un délégué à la
protection des données
Les projets importants (et la proposition de GDPR européen est un projet énorme) ont besoin de propriétaires. Dans la proposition de GDPR, le délégué à la protection des données (DPD) est censé être responsable de la création des contrôles d’accès et de la réduction des risques. Il doit aussi assurer la conformité, répondre aux demandes, signaler les violations dans les 72 heures, et même de créer une bonne stratégie de sécurité des données.
Vous faudra-t-il désigner un DPD dans votre entreprise ? À ce stade, il existe à nouveau des différences entre les propositions du Conseil et celles du Parlement. Le Conseil voudrait en faire une clause discrétionnaire et permettre à chaque état membre de décider si elle doit constituer une condition obligatoire ou non.
Notre opinion : donnez à quelqu’un dans votre entreprise les pouvoirs d’un DPD de manière informelle. Il semble logique de disposer d’un responsable ou d’un cadre de haut niveau chargé de gérer les lois européennes.
Si vous prenez en comptes ces cinq points, votre entreprise aura déjà fait un grand pas en avant pour faciliter sa future mise en conformité avec la législation à venir.