Se préparer pour le règlement général sur la protection des données de l’UE

Le règlement général sur la protection des données de l’UE (GDPR) a atteint sa forme finale au terme des discussions du trilogue en décembre dernier. Mais dans la saga à...
Michael Buckbee
2 minute de lecture
Dernière mise à jour 28 octobre 2021

Le règlement général sur la protection des données de l’UE (GDPR) a atteint sa forme finale au terme des discussions du trilogue en décembre dernier. Mais dans la saga à rebondissements du GDPR, il y a toujours un obstacle de plus à surmonter. En avril dernier, le Parlement européen a approuvé le texte final élaboré pendant les discussions.

Le compte à rebours est donc désormais commencé et les entreprises ont deux ans pour mettre de l’ordre dans leurs data centers. Le GDPR n’entrera pas en vigueur avant mai 2018.

Techniquement, le GDPR se trouve dans sa phase finale depuis presque un an, les principaux acteurs mettant au point quelques détails importants. Ainsi, les entreprises qui ont suivi l’affaire ont maintenant une longueur d’avance supplémentaire.

Pour rappel, nous avons écrit un article de blog très complet sur cette nouvelle législation. Et si vous voulez encore plus de détails sur le GDPR et son évolution depuis la Directive de Protection des données (DPD) existante, ne manquez pas de télécharger notre livre blanc.

Quels sont les points importants ?

Parmi les nombreuses exigences et les nombreux concepts du GDPR, je place les six suivants au sommet de ma liste de points importants :

  • Notification de violation – Une nouvelle exigence absente de la DPD d’origine est que les entreprises devront informer les autorités concernées dans les 72 heures suivant la découverte d’une violation de données personnelles. Les personnes concernées devront également être informées, mais seulement si les données engendrent un « risque élevé pour leurs droits et libertés ».
  • Évaluations d’impact sur la protection des données (DPIA) – Lorsque certaines données associées aux personnes concernées devront être traitées, les entreprises devront analyser les risques de confidentialité au préalable. Ceci constitue une nouvelle condition de la législation.
  • Respect de la vie privée dès la conception – Le respect de la vie privée dès la conception (PbD) a toujours fait partie des réglementations de données de l’UE. Avec la nouvelle loi, ses principes de minimisation du recueil et de la rétention des données et du consentement des consommateurs au traitement de leurs données sont formalisés de manière plus explicite.
  • Extraterritorialité – Le nouveau principe d’extraterritorialité du GDPR dit que même si une entreprise n’a aucune présence physique dans l’UE, mais recueille des données relatives à des personnes concernées européennes (par exemple par l’intermédiaire d’un site Web), toutes les exigences du GDPR s’appliquent. Autrement dit, la nouvelle loi s’étend à l’extérieur de l’UE. Cela affectera en particulier les entreprises de cybercommerce et autres activités liées au cloud.
  • Droit à l’effacement et droit à l’oubli – Une condition de longue date de la DPD permet aux consommateurs de demander la suppression de leurs données. Le GDPR étend ce droit aux données publiées sur le Web. C’est le droit encore controversé à rester hors de la vue du public et « d’être oublié ».
  • Amendes – Le GDPR comporte des pénalités à plusieurs niveaux qui porteront un sérieux coup aux finances du contrevenant. Les infractions les plus sérieuses méritent une amende de 4 % du revenu global d’une entreprise. Celles-ci peuvent inclure la violation des principes de base de la sécurité des données, en particulier des principes de PbD. Une amende moindre s’élevant jusqu’à 2 % du revenu global (ce qui est encore énorme) peut être infligée pour mauvaise tenue des enregistrements ou défaut de notification de l’autorité de surveillance et des personnes concernées à propos d’une violation. Cela transforme les oublis de notification de violation en infractions coûteuses.

La loi est complexe et la liste ci-dessus ne prétend pas constituer une synthèse complète de toutes les règles importantes. En tout cas, la plupart des experts en législation et en conformité conviendraient qu’une première étape sensée vers la conformité au GDPR consiste à effectuer un inventaire complet des données : nature des données stockées, emplacement, identité des personnes disposant d’un accès à ces données et droits d’accès courants.

Où avons-nous déjà entendu cela ?

Bien sûr, nous prêchons la sensibilisation à l’importance des données depuis un certain temps dans le blog de la Sécurité Interne. Cependant, avec le GDPR, ce n’est pas simplement une bonne idée. C’est une approche importante qui vous aidera à ne pas enfreindre la loi.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

le-règlement-général-sur-la-protection-des-données-de-l’ue-est-désormais-une-loi-à-part-entière.-voici-les-éléments-essentiels-à-connaître.
Le règlement général sur la protection des données de l’UE est désormais une loi à part entière. Voici les éléments essentiels à connaître.
L’approbation finale reçue par le règlement général sur la protection des données de l’UE (General Data Protection Regulation, ou GDPR) est selon certains, un « tournant de l’ère numérique »....
présentation-de-notre-nouvelle-api-dataprivilege-et-aperçu-de-nos-patterns-gdpr
Présentation de notre nouvelle API DataPrivilege et aperçu de nos Patterns GDPR
Dans moins d’un an, le Règlement général sur la protection des données (GDPR) entrera en vigueur et nous sommes conscients que nos clients subissent plus que jamais des pressions pour...
le-droit-à-l’oubli-:-explications-et-applications
Le droit à l’oubli : explications et applications
Le « droit à l’oubli » est un élément clé du Règlement général sur la protection des données (GDPR) de l’UE, bien que ce concept précède la législation d’au moins...
le-droit-à-l’oubli-et-l’intelligence-artificielle
Le droit à l’oubli et l’intelligence artificielle
Un des (nombreux) aspects déconcertants du Règlement général sur la protection des données (GDPR) de l’UE est le « droit à l’oubli ». Il est lié au droit à l’effacement, mais couvre un terrain...