Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Confidentialité & Conformité

GDPR : faites vos devoirs et limitez les risques d’amende

Ce conseil, qui était valable lorsque vous étiez à l’école, l’est aussi pour le Règlement général sur la protection des données (GDPR) : faites vos devoirs, cela compte dans votre note !...
Michael Buckbee
4 minute de lecture
Dernière mise à jour 29 octobre 2021

Contenu

    Ce conseil, qui était valable lorsque vous étiez à l’école, l’est aussi pour le Règlement général sur la protection des données (GDPR) : faites vos devoirs, cela compte dans votre note ! Dans le cas du GDPR, les devoirs à faire consistent à développer et mettre en place des mesures de respect de la vie privée dès la conception et à vous assurer que ces règles soient publiées et connues de l’équipe dirigeante.

    C’est à la lecture des nouvelles directives publiées le mois dernier concernant les amendes du GDPR que j’ai repensé à l’importance de bien prendre des notes et de faire ses devoirs. Voici ce que disent les régulateurs européens :

    « Ces dispositions introduisent une obligation de moyen plutôt qu’une obligation de résultat, c’est-à-dire que le responsable du traitement doit procéder aux évaluations nécessaires et arriver aux conclusions adéquates. La question à laquelle l’autorité de contrôle doit répondre est dans quelle mesure le responsable du traitement « a fait ce que l’on pouvait attendre de lui » compte tenu de la nature, de l’objet et de la taille du traitement, aux vues des obligations auxquelles il doit se soumettre dans le cadre du Règlement. »

    L’autorité de contrôle mentionnée ci-dessus, autrefois connue sous le nom d’autorité de protection des données (DPA), est l’entité en charge de l’application du GDPR dans un pays de l’UE. L’autorité de contrôle est censée demander au responsable du traitement, c’est-à-dire à l’entreprise qui collecte les données, s’il a bien fait ses devoirs — « ce que l’on pouvait attendre de lui » — au moment du calcul des amendes appliquées en cas de non-respect du GDPR.

    Les profs ne sont pas dupes

    Plusieurs autres facteurs indiqués dans ces directives affectent le montant des amendes, notamment le nombre de personnes concernées, la gravité des dommages (« risques pour les droits et libertés »), les catégories de données concernées par la violation et la disposition à coopérer et aider l’autorité de contrôle. Vous pourriez alors répondre que certains de ces éléments ne dépendent plus de vous une fois que les hackers ont percé la première ligne de défense.

    Mais s’il y a quelque chose que vous pouvez contrôler, c’est l’effort déployé par votre entreprise dans son programme de sécurité pour limiter les risques.

    Je me rappelle également ce que nous a dit Sue Foster, avocate spécialisée dans le respect de la vie privée chez Hogan Lovells, durant un entretien sur l’importance de « mettre en avant le travail effectué ». Autre analogie à l’école, Sue Foster a déclaré que vous pouvez obtenir une « note partielle » si vous montrez aux régulateurs après l’incident que vous avez mis en place des processus de sécurité.

    Elle a également prédit que des instructions supplémentaires seraient diffusées, et c’est bien ce que fait le document mentionné plus haut, en expliquant quels facteurs sont pris en compte lorsque des amendes sont infligées conformément au système à deux niveaux du GDPR, appliquant un taux de 2 % ou de 4 % du chiffres d’affaires mondial.

    Les normes de sécurité en vigueur comptent

    Les directives contiennent également quelques conseils très pratiques sur la conformité. Conscients que de nombreuses entreprises appliquent déjà des normes de données telles qu’ISO 27001, les régulateurs européens sont prêts à vous accorder une partie de la note si c’est votre cas.

    « … toute procédure de ‘meilleures pratiques’ ou méthode en place et applicable doit être prise en considération. Il est important de tenir compte de l’application de toute norme ou code de conduite du secteur ou de la profession. Les codes de bonnes pratiques peuvent apporter une indication sur le niveau de connaissance des différents moyens de résoudre les problèmes de sécurité courants associés au traitement. »

    Les personnes souhaitant prendre connaissance des lignes en petits caractères du GDPR peuvent consulter l’article 40 (« Codes de conduite »). Pour résumé, il y est dit que les associations de normalisation peuvent soumettre leurs contrôles de sécurité, par exemple PCI DSS, au comité européen de la protection des données (EDPB) pour approbation. Si un responsable du traitement applique un « code de conduite » approuvé officiellement, cela peut dissuader l’autorité de contrôle d’intenter une action, comme d’infliger une amende, tant que l’organisme de normalisation — par exemple le PCI Security Standards Council — possède son propre mécanisme de surveillance pour vérifier la conformité au règlement.

    D’après ces directives du GDPR, les organisations qui ont fait leurs devoirs et possèdent la conformité PCI seront bientôt en meilleure position lorsqu’il s’agira de traiter avec les régulateurs européens.

    Certification GDPR

    Le GDPR va toutefois un peu plus loin. Il laisse la possibilité de certifier officiellement les opérations de données d’un responsable du traitement !

    Dans la pratique, les autorités de contrôle ont le pouvoir (selon l’article 40) de certifier que les activités d’un responsable du traitement sont conformes au GDPR. L’autorité de contrôle elle-même peut également homologuer d’autres organismes de normalisation pour les autoriser à émettre elles aussi ces certifications.

    Délivrées dans tous les cas pour trois ans, ces certifications devront être renouvelées passé ce délai.

    Je devrais ajouter que ces certifications sont totalement facultatives mais qu’elles présentent des avantages indéniables pour de nombreuses entreprises. Le but est de tirer parti des normes de données déjà en place dans le secteur privé et de fournir aux entreprises une approche plus pratique de la conformité selon le GDPR, basée sur des exigences techniques et administratives.

    L’EDPB devrait également proposer des marques et logos de certification pour mieux informer les consommateurs, ainsi qu’un registre des entreprises certifiées.

    Nous devrons attendre de disposer d’informations complémentaires de la part des régulateurs concernant la certification du GDPR.

    À court terme, les entreprises qui ont déjà mis en place des programmes de conformité aux normes PCI DSS, ISO 27001 et autres normes de données devraient être mieux à même d’éviter les amendes émises dans le cadre du GDPR.

    Il est possible que très bientôt, lorsqu’ils consulteront un site Web, les internautes soient à l’affut d’un logo « European Data Protection Seal ».

    Vous voulez limiter les amendes du GDPR ? Varonis aide à respecter de nombreuses normes de sécurité des données très diverses. En savoir plus !

     

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    conformité-à-la-loi-sur-la-confidentialité-de-l’illinois -tout-ce-que-vous-devez-savoir
    Conformité à la loi sur la confidentialité de l’Illinois  tout ce que vous devez savoir
    conformité-à-la-loi-sur-la-confidentialité-de-l’illinois -tout-ce-que-vous-devez-savoir
    David Harrington
    9 février 2023
    The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
    en-quoi-consiste-la-gouvernance-des-données ?-cadre-et-bonnes-pratiques
    En quoi consiste la gouvernance des données ? Cadre et bonnes pratiques
    en-quoi-consiste-la-gouvernance-des-données ?-cadre-et-bonnes-pratiques
    David Harrington
    22 juillet 2022
    La gouvernance des données facilite l’organisation, la sécurisation et la normalisation des données de tous types d’organisations. Pour en savoir plus sur les cadres de gouvernance des données, cliquez ici.
    qu’est-ce-que-le-cadre-de-cybersécurité-nist ?
    Qu’est-ce que le cadre de cybersécurité NIST ?
    qu’est-ce-que-le-cadre-de-cybersécurité-nist ?
    Josue Ledesma
    13 juin 2022
    Découvrez comment mettre en œuvre le cadre de cybersécurité NIST dans votre entreprise.
    en-quoi-consiste-la-conformité-à-la-dsp2-et-qu’implique-t-elle-pour-votre-entreprise-?
    En quoi consiste la conformité à la DSP2 et qu’implique-t-elle pour votre entreprise ?
    en-quoi-consiste-la-conformité-à-la-dsp2-et-qu’implique-t-elle-pour-votre-entreprise-?
    David Harrington
    5 août 2021
    La directive DSP2 de l’UE encourage l’innovation financière tout en imposant de meilleurs dispositifs de protection des consommateurs. Découvrez en quoi consiste la conformité à la DSP2 et ce qu’elle implique pour votre entreprise.