Le RGPD est un règlement qui impose aux entreprises de protéger les données personnelles et la vie privée des citoyens de l'UE dans le cadre des transactions qui ont lieu au sein des États membres de l'UE. Ainsi, en cas de non-conformité, les entreprises pourraient se voir sanctionner.
Quels délais pour se conformer au RGPD ?
Les entreprises qui recueillent des données sur les citoyens des pays de l’UE devront se conformer à de nouvelles règles strictes concernant la protection des données des clients au plus tard le 25 mai 2018.
Le RGPD a établi une nouvelle norme pour les droits des consommateurs en ce qui concerne leurs données. Cependant, le défi des entreprises est de mettre en place des systèmes et des processus pour s’y conformer. La conformité suscitera certaines préoccupations et de nouvelles attentes de la part des équipes de sécurité. Par exemple, le RGPD adopte une vue d’ensemble de ce qui constitue des renseignements personnels d'identification. Les entreprises auront besoin du même niveau de protection pour certaines informations, telles que l'adresse IP d'un individu, les données des cookies, le nom, l'adresse, etc.
Par ailleurs, le RGPD reste flou sur le niveau de protection des données personnelles que doivent respecter les entreprises. Il parle tout simplement d’un niveau "raisonnable" mais ne définit pas ce qui constitue ce niveau. Il ne reste plus beaucoup de temps pour respecter l'échéance.
Aussi, il faut savoir que d’autres exigences ne portent pas directement sur la sécurité de l'information. Mais les processus et les changements de système nécessaires pour se conformer pourraient avoir un impact sur les systèmes et protocoles de sécurité existants.
Comment se préparent les entreprises ?
Les dispositions sont cohérentes dans les 28 États membres de l'UE, ce qui signifie que les entreprises n'ont qu'une seule norme à respecter au sein de l'UE. Toutefois, cette norme est assez élevée et exigera de la plupart des entreprises qu'elles investissent des sommes importantes pour la respecter et l'administrer.
Pourquoi la mise en place du RGPD ?
La mise en place répond à la préoccupation du public au sujet de la protection de la vie privée. Le RGPD remplacera donc la directive de l'UE sur la protection des données, entrée en vigueur en 1995. C'était bien avant la vulgarisation de l'Internet aujourd'hui. De nos jours, avec leur transformation numérique, les entreprises utilisant davantage les ressources numériques, les services et les grandes données. Ainsi, elles doivent être responsables de la surveillance et de la protection de ces données au quotidien.
Quels types de données personnelles le RGPD protège-t-il ?
Informations d'identité de base, comme le nom, l'adresse et les numéros d'identification Données Web, comme la localisation, l'adresse IP, les données des cookies, les données sanitaires, génétiques ou biométriques, ls données raciales ou ethniques, opinions politiques ou l’orientation sexuelle, etc.
Quelles sont les entreprises touchées par le RGPD ?
Toute entreprise qui stocke ou traite des informations personnelles sur des citoyens de l'UE dans les États membres de l'UE doit se conformer au RGPD. Les critères imposés aux entreprises sont les suivants :
- une présence dans un pays de l'UE,
- pas de présence dans l'UE, mais si elles traitent les données personnelles des résidents européens,
- plus de 250 employés.
Moins de 250 employés, mais son traitement de l'information porte atteinte aux droits et libertés des personnes concernées. Cela signifie effectivement que presque toutes les entreprises sont concernées par ce règlement, explique Claire Sambuc.
Qui sera responsable de la conformité dans les entreprises ?
Le RGPD, détermine plusieurs fonctions qui sont chargées d'assurer la conformité. Il s’agit soit :
- du responsable du traitement ou
- du responsable du traitement et le délégué à la protection des données
Le responsable du traitement définit la manière dont les données à caractère personnel sont traitées et les finalités de leur traitement. Il incombe également au contrôleur de s'assurer que les entrepreneurs externes se conforment aux exigences.
Cependant, les responsables du traitement des données peuvent être les groupes internes qui gèrent et traitent les dossiers de données à caractère personnel. De cette manière, le RGPD tient pour responsables les transformateurs en cas de manquement ou de non-conformité.
