Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Cinq choses à savoir sur la nouvelle législation européenne relative à la protection des données

Par Norman Girard, Vice Président et directeur général Europe de Varonis Les régulateurs européens sont sérieux en ce qui concerne la réforme de la protection des données. Ils ont presque...
David Gibson
4 minute de lecture
Publié 14 octobre 2015
Dernière mise à jour 28 octobre 2021

Par Norman Girard, Vice Président et directeur général Europe de Varonis

Les régulateurs européens sont sérieux en ce qui concerne la réforme de la protection des données. Ils ont presque finalisé le General Data Protection Regulation (règlement général sur la protection des données, GDPR). Celui-ci constitue une reformulation des règles existantes de protection des données et de protection de la vie privée définies dans l’ancienne Directive de Protection des données. Un nouveau monde européen de données s’annonce !

Beaucoup de spécialistes ont abordé le long parcours épique du GDPR au cours des deux dernières années. Mais avec le Conseil de l’Union européenne (une sorte d’organe exécutif de l’UE) approuvant sa propre version, la scène est prête pour trouver un compromis avec le Parlement européen lors d’un débat final. Le GDPR sera probablement approuvé d’ici la fin de l’année 2015 (ou le début de l’année 2016) et entrera en vigueur en 2017. Les entreprises, dont les multinationales américaines détenant des informations personnelles de citoyens européens, devront bientôt se conformer à des règles plus strictes pour prouver qu’elles protègent activement les données personnelles qui leur ont été confiées.

Selon la plus récente proposition du Conseil, nous avons désormais une idée assez précise de ce à quoi le GDPR final ressemblera. Il nous semble donc essentiel pour les entreprises de commencer à réfléchir aux cinq points ci-dessous.

1. Mettre en place des principes de respect de la vie privée dès la conception

Développé par Ann Cavoukian, ancien commissaire à l’information et à la protection de la vie privée de l’Ontario, Privacy by Design (PbD) a eu une grande influence sur les experts en matière de sécurité, les responsables politiques et les régulateurs. Cavoukian croit que Big data et vie privée peuvent coexister. Pour l’essentiel, son message dit que vous pouvez prendre quelques mesures de base pour implémenter la vision PbD : minimiser les données recueillies (en particulier les informations personnelles) auprès des consommateurs, ne pas conserver les données personnelles au-delà de la durée prévue à l’origine, et donner aux consommateurs l’accès à leurs données ainsi que leur propriété.

L’UE aime aussi PbD. De nombreuses références y sont faites dans l’article 23 et dans beaucoup d’autres textes de la nouvelle réglementation. Il n’est pas très difficile de déduire que si vous implémentez PbD, vous avez maîtrisé le GDPR.

Vous avez besoin de vous mettre rapidement au diapason ? Utilisez cet aide-mémoire pour comprendre les principes de PbD et vous guider dans vos principales décisions en matière de sécurité des données.

2. Le droit d’être oublié

Le tant controversé « droit à l’oubli numérique » deviendra bientôt la loi de l’UE. Pour la plupart des entreprises, c’est véritablement le droit des consommateurs d’effacer leurs données.

Abordé dans l’article 17 du GDPR proposé, il stipule que « Le (…) responsable du traitement est tenu d’effacer les données à caractère personnel dans les meilleurs délais, notamment en ce qui concerne les données à caractère personnel qui sont collectées lorsque la personne concernée a le statut d’enfant. Et la personne concernée a le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant, dans les meilleurs délais ».

Je crois que cela énonce clairement le droit à l’effacement.

Qu’advient-il si le responsable du traitement des données transmet les données personnelles à certaines tierces parties telles qu’un service de stockage ou de traitement dans le cloud ? La réglementation européenne continue de s’appliquer : en tant que sous-traitant, le service cloud devra aussi effacer les données personnelles lorsque le responsable du traitement des données lui demandera de le faire.

Traduction : le consommateur ou sujet concerné par les données peut demander l’effacement des données détenues par les entreprises à tout instant. Dans l’UE, les données appartiennent au peuple !

3. Les multinationales américaines doivent protéger les données

Il convient de rappeler le précédent article de blog d’Andy dans lequel il demande instamment aux grandes multinationales américaines recueillant des données auprès de citoyens européens de mettre en place des stratégies de sécurité des données comme si leurs serveurs se trouvaient dans l’UE.

Connu sous le nom « d’extraterritorialité », ce principe est abordé au début du GDPR proposé. Pour ceux qui ont une fibre juridique, voici le langage employé dans toute sa beauté bureaucratique :

La circulation transfrontière des données à caractère personnel […] est nécessaire au développement de la coopération internationale et du commerce mondial […] lorsque ces données sont transférées de l’Union vers des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne soit pas amoindri.

Il existe certains problèmes et certaines difficultés relatives à la manière dont cela sera appliqué. Mais avec les États-Unis disant que leurs lois de stockage s’appliquent aux données situées sur des serveurs irlandais, il semble tout à fait naturel que l’UE effectue le même type de demande à propos des données de ses citoyens détenues aux États-Unis !

4. Quelle amende devrez-vous payer ?

Pour les infractions sérieuses (telles que le traitement de données sensibles sans consentement ou autre motif juridique), les régulateurs peuvent imposer des pénalités. Il existe des différences entre la version du Conseil de l’Union européenne et celle du Parlement. Le Conseil autorise des amendes s’élevant jusqu’à 1 million d’euros ou 2 % du CA annuel de la société. Les amendes prévues par le Parlement s’avèrent plus sévères et atteignent 100 millions d’euros ou 5 % du CA annuel. Ces deux organes devront trouver un compromis au cours des prochains mois.

Indépendamment de la loi finale, le plus important est que les pénalités du GDPR représenteront des sommes sérieuses pour les multinationales américaines.

5. Envisagez de désigner ou d’embaucher un délégué à la protection des données

Les projets importants (et la proposition de GDPR européen est un projet énorme) ont besoin de propriétaires. Dans la proposition de GDPR, le délégué à la protection des données (DPD) est censé être responsable de la création des contrôles d’accès et de la réduction des risques. Il doit aussi assurer la conformité, répondre aux demandes, signaler les violations dans les 72 heures, et même de créer une bonne stratégie de sécurité des données.

Vous faudra-t-il désigner un DPD dans votre entreprise ? À ce stade, il existe à nouveau des différences entre les propositions du Conseil et celles du Parlement. Le Conseil voudrait en faire une clause discrétionnaire et permettre à chaque état membre de décider si elle doit constituer une condition obligatoire ou non.

Notre opinion : donnez à quelqu’un dans votre entreprise les pouvoirs d’un DPD de manière informelle. Il semble logique de disposer d’un responsable ou d’un cadre de haut niveau chargé de gérer les lois européennes.

Si vous prenez en comptes ces cinq points, votre entreprise aura déjà fait un grand pas en avant pour faciliter sa future mise en conformité avec la législation à venir.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
guide-de-l’acheteur-de-dspm
Guide de l’acheteur de DSPM
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
derrière-la-refonte-de-la-marque-varonis
Derrière la refonte de la marque Varonis
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).