Par Norman Girard, Vice Président et directeur général Europe de Varonis
Les régulateurs européens sont sérieux en ce qui concerne la réforme de la protection des données. Ils ont presque finalisé le General Data Protection Regulation (règlement général sur la protection des données, GDPR). Celui-ci constitue une reformulation des règles existantes de protection des données et de protection de la vie privée définies dans l’ancienne Directive de Protection des données. Un nouveau monde européen de données s’annonce !
Beaucoup de spécialistes ont abordé le long parcours épique du GDPR au cours des deux dernières années. Mais avec le Conseil de l’Union européenne (une sorte d’organe exécutif de l’UE) approuvant sa propre version, la scène est prête pour trouver un compromis avec le Parlement européen lors d’un débat final. Le GDPR sera probablement approuvé d’ici la fin de l’année 2015 (ou le début de l’année 2016) et entrera en vigueur en 2017. Les entreprises, dont les multinationales américaines détenant des informations personnelles de citoyens européens, devront bientôt se conformer à des règles plus strictes pour prouver qu’elles protègent activement les données personnelles qui leur ont été confiées.
Selon la plus récente proposition du Conseil, nous avons désormais une idée assez précise de ce à quoi le GDPR final ressemblera. Il nous semble donc essentiel pour les entreprises de commencer à réfléchir aux cinq points ci-dessous.
1. Mettre en place des principes de respect de la vie privée dès la conception
Développé par Ann Cavoukian, ancien commissaire à l’information et à la protection de la vie privée de l’Ontario, Privacy by Design (PbD) a eu une grande influence sur les experts en matière de sécurité, les responsables politiques et les régulateurs. Cavoukian croit que Big data et vie privée peuvent coexister. Pour l’essentiel, son message dit que vous pouvez prendre quelques mesures de base pour implémenter la vision PbD : minimiser les données recueillies (en particulier les informations personnelles) auprès des consommateurs, ne pas conserver les données personnelles au-delà de la durée prévue à l’origine, et donner aux consommateurs l’accès à leurs données ainsi que leur propriété.
L’UE aime aussi PbD. De nombreuses références y sont faites dans l’article 23 et dans beaucoup d’autres textes de la nouvelle réglementation. Il n’est pas très difficile de déduire que si vous implémentez PbD, vous avez maîtrisé le GDPR.
Vous avez besoin de vous mettre rapidement au diapason ? Utilisez cet aide-mémoire pour comprendre les principes de PbD et vous guider dans vos principales décisions en matière de sécurité des données.
2. Le droit d’être oublié
Le tant controversé « droit à l’oubli numérique » deviendra bientôt la loi de l’UE. Pour la plupart des entreprises, c’est véritablement le droit des consommateurs d’effacer leurs données.
Abordé dans l’article 17 du GDPR proposé, il stipule que « Le (…) responsable du traitement est tenu d’effacer les données à caractère personnel dans les meilleurs délais, notamment en ce qui concerne les données à caractère personnel qui sont collectées lorsque la personne concernée a le statut d’enfant. Et la personne concernée a le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant, dans les meilleurs délais ».
Je crois que cela énonce clairement le droit à l’effacement.
Qu’advient-il si le responsable du traitement des données transmet les données personnelles à certaines tierces parties telles qu’un service de stockage ou de traitement dans le cloud ? La réglementation européenne continue de s’appliquer : en tant que sous-traitant, le service cloud devra aussi effacer les données personnelles lorsque le responsable du traitement des données lui demandera de le faire.
Traduction : le consommateur ou sujet concerné par les données peut demander l’effacement des données détenues par les entreprises à tout instant. Dans l’UE, les données appartiennent au peuple !
3. Les multinationales américaines doivent protéger les données
Il convient de rappeler le précédent article de blog d’Andy dans lequel il demande instamment aux grandes multinationales américaines recueillant des données auprès de citoyens européens de mettre en place des stratégies de sécurité des données comme si leurs serveurs se trouvaient dans l’UE.
Connu sous le nom « d’extraterritorialité », ce principe est abordé au début du GDPR proposé. Pour ceux qui ont une fibre juridique, voici le langage employé dans toute sa beauté bureaucratique :
La circulation transfrontière des données à caractère personnel […] est nécessaire au développement de la coopération internationale et du commerce mondial […] lorsque ces données sont transférées de l’Union vers des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne soit pas amoindri.
Il existe certains problèmes et certaines difficultés relatives à la manière dont cela sera appliqué. Mais avec les États-Unis disant que leurs lois de stockage s’appliquent aux données situées sur des serveurs irlandais, il semble tout à fait naturel que l’UE effectue le même type de demande à propos des données de ses citoyens détenues aux États-Unis !
4. Quelle amende devrez-vous payer ?
Pour les infractions sérieuses (telles que le traitement de données sensibles sans consentement ou autre motif juridique), les régulateurs peuvent imposer des pénalités. Il existe des différences entre la version du Conseil de l’Union européenne et celle du Parlement. Le Conseil autorise des amendes s’élevant jusqu’à 1 million d’euros ou 2 % du CA annuel de la société. Les amendes prévues par le Parlement s’avèrent plus sévères et atteignent 100 millions d’euros ou 5 % du CA annuel. Ces deux organes devront trouver un compromis au cours des prochains mois.
Indépendamment de la loi finale, le plus important est que les pénalités du GDPR représenteront des sommes sérieuses pour les multinationales américaines.
5. Envisagez de désigner ou d’embaucher un délégué à la protection des données
Les projets importants (et la proposition de GDPR européen est un projet énorme) ont besoin de propriétaires. Dans la proposition de GDPR, le délégué à la protection des données (DPD) est censé être responsable de la création des contrôles d’accès et de la réduction des risques. Il doit aussi assurer la conformité, répondre aux demandes, signaler les violations dans les 72 heures, et même de créer une bonne stratégie de sécurité des données.
Vous faudra-t-il désigner un DPD dans votre entreprise ? À ce stade, il existe à nouveau des différences entre les propositions du Conseil et celles du Parlement. Le Conseil voudrait en faire une clause discrétionnaire et permettre à chaque état membre de décider si elle doit constituer une condition obligatoire ou non.
Notre opinion : donnez à quelqu’un dans votre entreprise les pouvoirs d’un DPD de manière informelle. Il semble logique de disposer d’un responsable ou d’un cadre de haut niveau chargé de gérer les lois européennes.
Si vous prenez en comptes ces cinq points, votre entreprise aura déjà fait un grand pas en avant pour faciliter sa future mise en conformité avec la législation à venir.
What should I do now?
Below are three ways you can continue your journey to reduce data risk at your company:
Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.
See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.
Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.
