GDPR – Exigences de la réglementation
Dans notre précédent article GDPR et la protection des données en Afrique. Nous avions évoqué la Réglementation Générale de Protection des Données adoptée par l’Union Européenne et quelles en seraient les impacts sur les économies des pays Africains. Dans ce nouvel article, nous allons voir, plus en détail, quelles sont les principales exigences de la réglementation.
La mise en conformité à la GDPR peut, au premier abord, apparaître comme un fardeau. Cela ne l’est pas. C’est un moyen de protéger chacun d’entre nous, car nous sommes tous l’objet de données, l’exploitant ou encore le vérificateur de données. La GDPR se concentre sur les données personnelles. Mais c’est une occasion idéale pour investir dans la protection de toutes vos données. Tout cela sera finalement très utile car ce sont vos données qui sont la source de votre activité économique.
Pourquoi protéger les données de l’Entreprise?
Vous pensez ne pas être concernés car vous produisez des crayons et vous pensez que l’informatique est secondaire dans votre activité. Pensez un seul instant aux données qui vous sont propres pour produire vos crayons. Il y a les spécifications, la propriété intellectuelle, les données sur vos fournisseurs, les informations sur commandes, les clients, les services financiers, les coordonnées bancaires de vos clients et de vos fournisseurs, les informations personnelles de vos employés, les configurations de sécurité que vous avez mises en place… Toutes ces informations sont vitales pour votre activité. Que se passerait-il si vous les perdiez ou si elles arrivaient entre les mains de votre concurrent?
Commençons donc par le début. Nous devons assurer une bonne protection des données. Ce n’est pas seulement parce que la GDPR l’exige et que nous devons nous aligner sur les exigences de l’UE. C’est simplement un pré-requis indispensable à la bonne gestion d’une Entreprise. Tout bon régime de protection des données commence par une stratégie. Celle-ci précise les obligations de l’Entreprise vis à vis des données et les résultats escomptés. La stratégie définit également les moyens à mettre en oeuvre pour protéger ces informations.
Comment nous y prendre?
Les Entreprises ont deux sources d’inspiration pour baliser leur chemin.
Le premier est la GDPR elle-même parce qu’elle énonce les obligations que les entreprises doivent appliquer à leur système d’information. Le second est l’utilisation de référentiels tels que COBIT 5 ou de normes telles que ISO 27001. COBIT 5 et ISO 27001 nous fournissent le cadre sur la base duquel évaluer comment vous allez atteindre ces résultats et les bénéfices attendus. En combinant liste complète des exigences de la GDPR et l’utilisation de COBIT 5, les entreprises seront donc en mesure de répondre aux exigences de conformité de GDPR de façon transparente.
Les principales exigences de la GDPR
Avant d’aborder comment nous y prendre, examinons un peu plus en détail les exigences de la réglementation
1. Même si votre entreprise n’est pas dans l’UE, la réglementation s’applique
Les organisations non situées dans un état européen mais qui font des affaires avec l’UE et utilisent les données personnelles des ressortissants de l’UE doivent se préparer à se conformer à la réglementation. Ceux qui fournissent des produits ou des services à des clients dans l’UE ou qui traitent ou manipulent leurs données peuvent avoir à faire face à des poursuites de l’UE si un incident de sécurité est signalé.
C’est notamment le cas de toute banque Africaine qui reçoit de l’argent depuis un compte situé en Europe. C’est la même chose si elle effectue un transfert vers un compte bancaire Européen. Cette banque Africaine aura alors en sa possession les données bancaires du citoyen ou de l’Entreprise européenne avec laquelle s’effectue la transaction. Ces informations doivent donc être protégées en respectant les exigences de la GDPR. Toute transaction commerciale impliquant une organisation Africaine et un Organisation Européenne est donc concernée.
2. La définition des données personnelles est élargie
La confidentialité des données concerne désormais d’autres facteurs susceptibles d’être utilisés pour identifier un individu. Il s’agit par exemple de son identité génétique, psychique, économique, culturelle ou sociale. Les entreprises sont incitées à prendre des mesures afin de réduire la quantité d’informations personnelles qu’ils stockent, et à veiller à ce qu’elles ne stockent pas les informations plus longtemps que strictement nécessaire.
3. Un consentement est requis pour traiter les données relatives aux enfants
Le consentement des parents sera nécessaire pour le traitement des données personnelles des enfants de moins de 16 ans. Chaque État membre de l’UE peut abaisser à 13 ans l’âge nécessitant le consentement parental. Bien entendu des traces doivent permettre la vérification au travers d’audits.
4. Les modifications apportées aux règles d’obtention du consentement valide
Un document de consentement au traitement des données personnelles doit être exprimé en termes simples et non ambigus. Le consentement ne se présume pas. Le silence ou l’absence de réponse ne constitue pas un consentement. Un consentement clair et positif au traitement des données privées doit être fourni, de façon formelle et auditable.
Imaginons que vous utilisez le mailing internet pour contacter vos clients. Chacun d’eux doit avoir fourni un consentement clair et positif à être présent dans votre liste d’adresses. Cela signifie que citoyen d’un état Européen qui recevrait un email provenant d’une société, en Afrique par exemple, et qui n’aurait pas donné explicitement son consentement pour être contacté par mail serait en droit de poursuivre ladite Société, laquelle serait du coup passible d’une lourde amende pour non respect de la GDPR.
5. La nomination d’un Directeur de la Protection des Données (DPO) est obligatoire pour certaines entreprises
L’article 35 de la GDPR stipule que des Directeurs de la Protection des Données (DPO – Data Protection Officer) doivent être nommés dans toutes les administrations. En outre, un DPO sera nécessaire lorsque les activités de base de l’Organisation impliquent « un suivi régulier et systématique de grandes quantités de données personnelles » ou lorsque l’entité effectue le traitement à grande échelle de « catégories particulières de données à caractère personnel ». Cela fait donc référence aux sociétés de service informatique qui opèrent le système d’information de leurs clients.
Les entreprises dont l’activité principale n’est pas le traitement de données sont exemptées de cette obligation.
La GDPR ne précise pas les diplômes et certifications professionnelles requis pour les Directeurs de la Protection des Données, mais stipulent néanmoins qu’ils doivent avoir «une connaissance approfondie du droit et des pratiques de protection des données. »
6. Evaluations obligatoires d’impacts des risques sur la protection des données
Une approche basée sur les risques doit être adoptée avant d’entreprendre des activités de traitement de données sensibles. Des rôles de vérificateurs de données seront nécessaires pour effectuer des évaluations d’impact, analyser et minimiser ces risques pour les personnes concernées dès lors que des risques de violation de la vie privée sont élevés.
Ce sera notamment le cas lorsqu’une Entreprise Européenne entrera en relation d’affaires avec une Entreprise d’un pays dont la législation est plus tolérante.
7. Exigences nouvelles en matière de notification de violations des données
Les vérificateurs de données seront tenus de signaler les violations de confidentialité constatées à leur autorité de protection des données, à moins que celles-ci ne représentent qu’un risque faible pour les droits et libertés des personnes concernées. L’information doit être transmise dans les 72 heures suivant la constatation de la violation de confidentialité par les vérificateurs. Des dérogations pourront exister en cas de circonstances exceptionnelles, qui devront être justifiées.
Lorsque le risque pour les individus est élevé, les personnes concernées doivent être informées. Toutefois, aucun délai n’est spécifié par la règlementation.
Des audits réguliers de la chaîne d’information et des vérifications seront requis pour assurer que le nouveau régime de sécurité est bien adapté à l’usage.
8. Le droit à l’oubli
Tout individu a le « droit à l’oubli ». La GDPR prévoit des lignes directrices claires sur les circonstances dans lesquelles le droit peut être exercé.
9. Le transfert international de données
Étant donné que la règlementation est également applicable aux Entreprises qui utilisent et transforment les données, les organisations doivent être conscientes du risque de transfert de données vers des pays ne faisant pas partie de l’UE.
10. Responsabilités en matière de traitement de données
Les Entreprise exploitant des données auront des obligations et des responsabilités juridiques directes. Cela signifie que les exploitants peuvent être tenus responsables des violations de données. Les arrangements contractuels devront donc être mis à jour en précisant les responsabilités et les obligations de chacune des parties. Il s’agit là d’une exigence impérative dans les futurs accords.
Les Parties devront documenter leurs responsabilités sur les données encore plus clairement, et les niveaux de risque accrus peuvent clairement influer sur le coût des services.
11. La portabilité des données
La portabilité des données permettra à un utilisateur de demander une copie de ses données personnelles dans un format utilisable et par voie électronique transmissible à un autre système de traitement.
12. Protection par la conception
La GDPR exige que les systèmes et les processus prennent en compte le respect des principes de protection des données. L’essence de la protection par la conception est que la vie privée dans un service ou un produit est pris en compte non seulement au moment de la livraison, mais aussi dès l’origines de la création du concept de produit.
Il y a aussi une exigence que les vérificateurs ne doivent recueillir que les données strictement nécessaires à la réalisation de leurs objectifs spécifiques et les détruire dès qu’elle ne sont plus nécessaires.
13. Un guichet unique
Un nouveau guichet unique Européen est créé pour les entreprises. Cela signifie que les entreprises ne devront faire face à une autorité de surveillance unique pour l’ensemble de l’Europe et non pas au sein de chaque état. Ceci rend plus simple et moins coûteux pour les entreprises de faire des affaires dans l’UE. Cela aura également un impact positif pour les fournisseurs de services Internet ayant des bureaux dans plusieurs pays de l’UE.
Et pour se mettre en conformité, comment fait-on?
Dans notre prochain article, nous verrons comment nous appuyer sur COBIT 5 et ISO 27001 pour implémenter l’ensemble des mesures nécessaires à la conformité requise par la GDPR.
Vous avez des questions sur le contenu de la réglementation, son interprétation ou ses conséquences pratiques? N’hésitez pas à nous poster un commentaire et un de nos experts en protection des données personnelles vous répondra.