La législation du Règlement général sur la protection des données (RGPD) a mis à jour et unifié les lois sur la protection des données et la confidentialité dans l'Union européenne (UE). Elle a remplacé la directive européenne de 1995 sur la protection des données.
Le Parlement européen a approuvé la loi sur la protection des données le 14 avril 2016, mais elle n'est entrée en vigueur que le 25 mai 2018. Par conséquent, de nombreuses personnes désignent le RGPD comme la « loi sur la protection des données de 2018 ». Elle a harmonisé les lois sur la confidentialité des données des 28 membres de l'Union européenne et a fourni un ensemble cohérent de 99 articles pour des droits et une protection accrus pour les individus. Elle a été adoptée à un moment de préoccupation croissante des consommateurs de l'Union européenne pour la confidentialité de leurs données.
Un rapport de RSA sur la confidentialité et la sécurité des données a révélé que 41 % des consommateurs soumettent des informations personnelles incorrectes aux entreprises en raison de leur manque de confiance dans la confidentialité des données et de la crainte d'un marketing intrusif. 90 % des consommateurs interrogés dans le monde ont également exprimé leur inquiétude quant à la perte, la manipulation et le vol de leurs données personnelles.
Beaucoup décrivent le RGPD comme une révolution en matière de protection des données et de la confidentialité plutôt qu'une refonte des droits. La nouvelle directive met l'accent sur la transparence des entreprises et étend les droits à la confidentialité des consommateurs (personnes concernées). Par exemple, une fois qu'une entreprise détecte une faille de sécurité importante, elle doit informer l'autorité de contrôle et toutes les personnes touchées dans les 72 heures.
Le RGPD s'applique à toutes les données produites par les citoyens de l'Union européenne, que l'entreprise qui les recueille soit basée en Union européenne ou non. Il concerne également toutes les personnes dont les informations sont stockées dans l'Union européenne, y compris les citoyens non européens. En outre, il prévoit de lourdes amendes pour les entreprises qui enfreignent les règles.
Le sigle RGPD signifie « Règlement Général sur la Protection des Données ». Il s'agit d'une loi sur la protection des données dont les dispositions obligent les entreprises et les organisations à protéger les données et la confidentialité des citoyens de l'Union européenne pour les transactions effectuées au sein des États membres de l'Union européenne. Elle réglemente également la manière dont les entreprises exportent des données personnelles hors de l'Union européenne. Beaucoup considèrent qu'il s'agit de la norme de protection des données la plus robuste au monde, qui améliore la façon dont les personnes peuvent accéder à leurs informations et les limites que les organisations doivent respecter pour traiter les données personnelles.
Le RGPD exige que les entreprises et les organisations qui effectuent un traitement de données à grande échelle et une surveillance des personnes concernées disposent d'un délégué à la protection des données (DPD). Le DPD devient le représentant responsable de la gouvernance des données de l'entreprise et de la conformité.
Les entreprises qui ne respectent pas les règles du RGPD s'exposent à des conséquences juridiques, notamment une amende de 20 millions d'euros (soit environ 20,26 millions de dollars) ou 4 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En outre, le DPD veille à l'application des principes appropriés de protection des données pour la conservation des données personnelles.
Le RGPD existe en raison des préoccupations du public concernant la confidentialité. Il a remplacé la Directive européenne sur la protection des données personnelles de 1995, promulguée longtemps avant qu'Internet ne devienne le hub commercial en ligne que nous connaissons. Par conséquent, il était nécessaire pour remplacer la directive obsolète qui n'abordait de manière adéquate pas la question de la collecte, du transfert et du stockage des données par les entreprises.
Aujourd'hui, le RGPD protège la population de l'Union européenne et ses données pour s'assurer que les organisations qui collectent et stockent des données le font de manière responsable. Il impose le maintien de la sécurité des données personnelles et exige des organisations qu'elles les protègent contre le traitement non autorisé ou illégal, les dommages, la destruction et la perte accidentelle. Ces éléments impliquent notamment de nombreuses activités liées aux ransomwares et aux logiciels malveillants.
Il identifie également les raisons de la collecte de données personnelles et précise qu'elle doit être effectuée dans un but particulier et légitime, et que les organisations ne peuvent pas les utiliser en dehors de cette intention. Le règlement vise à limiter le volume de données collectées par les organisations et les entreprises. Il stipule que la collecte de données est limitée à ce qui est nécessaire aux fins pour lesquelles une organisation traite et utilise les données.
De plus, le RGPD précise que les organisations qui collectent des données doivent s'assurer de leur exactitude et les mettre à jour si nécessaire.
Les entreprises ne peuvent pas traiter légalement les données d'identification personnelles d'une personne si les conditions définies suivantes ne sont pas respectées :
Le but du RGPD est d'utiliser une loi européenne uniforme sur la sécurité des données dans les États membres afin que les membres individuels n'aient pas besoin d'écrire et d'appliquer différentes lois sur la protection des données. De plus, bien qu'il s'agisse d'un règlement de l'Union européenne, il s'applique également aux entreprises mondiales.
Par exemple, il s'applique à une société basée aux États-Unis qui exerce ses activités dans l'Union européenne et collecte et gère les données de résidents et de citoyens européens. Une enquête de PWC a montré que 92% des entreprises basées aux États-Unis considèrent la protection des données RGPD comme une priorité.
Voici d'autres critères de conformité spécifiques pour les organisations :
Le RGPD se concentre essentiellement sur la protection des données personnelles. Les données personnelles sont des informations qui permettent l'identification d'une personne vivante directement ou indirectement. Il peut s'agir de quelque chose d'évident comme un nom, des données de localisation ou un nom d'utilisateur en ligne clair, ou de quelque chose de moins convenu, comme des identifiants de cookies ou des adresses IP.
Il offre également une meilleure protection à certaines catégories de données personnelles sensibles, notamment les informations sur :
La définition cruciale des données personnelles est « tout ce qui permet l'identification d'une personne ». Cela signifie que les données pseudonymisées comptent comme des données personnelles dans ce contexte plus large. Les données personnelles sont essentielles car la loi concerne les individus, les entreprises et les organisations qui les traitent ou les contrôlent.
Le RGPD définit les trois rôles suivants :
Les responsables du traitement des données sont les décideurs et exercent un contrôle sur le traitement, les finalités et l'utilisation des données à caractère personnel. Il existe parfois des responsables du traitement des données personnelles conjoints, c'est-à-dire que deux entités ou plus déterminent comment traiter les données collectées. D'autre part, les sous-traitants des données traitent les données en agissant au nom des responsables du traitement concernés, conformément à leurs instructions. Par conséquent, les responsables du traitement des données ont des réglementations plus strictes que les sous-traitants des données.
Les utilisateurs doivent donner leur consentement aux organisations et aux entreprises qui souhaitent collecter et utiliser leurs données personnelles. Dans ce cas, les données personnelles désignent les informations concernant une personne physique vivante, identifiée ou identifiable, souvent appelée personne concernée.
Comme indiqué ci-dessus, les données personnelles peuvent inclure les éléments suivants :
Il exige que les entreprises et les organisations informent les visiteurs de leurs sites en ligne des données qu'elles collectent, telles que les cookies. Ces visiteurs doivent également consentir à donner des informations en cliquant sur le bouton Accepter. Par exemple, de nombreux sites affichent des avis contextuels informant les visiteurs que le site collecte des cookies, de petits fichiers contenant des informations personnelles telles que les préférences ou les paramètres du site.
Les sites web doivent également informer les visiteurs et les utilisateurs rapidement après une violation des données personnelles détenues par l'entreprise ou le site. Ces exigences de l'Union européenne en matière de protection des données sont souvent plus strictes que celles d'autres juridictions.
D'autres exigences comprennent l'évaluation de la sécurité des données du site web et la désignation d'un délégué à la protection des données pour effectuer ces fonctions et d'autres. De plus, l'entreprise doit fournir les coordonnées du DPD et d'autres employés concernés pour garantir la facilité d'accès à l'exercice de ses droits RGPD. Il s'agit notamment du droit d'effacer leurs données personnelles du site, entre autres mesures.
Il protège davantage les consommateurs en veillant à ce que les organisations et autres collecteurs rendent les données personnelles recueillies anonymes ou pseudonymisées en remplaçant l'identité par un pseudonyme. Ces mesures permettent aux organisations d'effectuer des analyses de données plus approfondies comme l'évaluation du taux moyen de dette de leurs clients, ce qui dépasse les exigences d'évaluation de la solvabilité pour un prêt.
Il convient de mentionner que le RGPD affecte les données autres que celles collectées auprès des clients. Par exemple, le règlement s'applique aux dossiers des ressources humaines des employés.
Le RGPD de l'Union Européenne compte 11 chapitres et 91 articles. Vous trouverez ci-dessous certains des articles clés qui ont un impact sur les opérations de sécurité des organisations :
L'article 5 de la loi contient sept principes fondamentaux. Ces principes guident la façon dont les organisations gèrent les données des personnes. Il ne s'agit pas de règles complexes à suivre, mais d'un cadre global qui expose les objectifs du RGPD.
De nombreux principes sont similaires à ceux mentionnés dans des lois précédentes relatives à la protection des données. Les sept principes sont les suivants :
Les principes ci-dessus du RGPD sous-tendent les droits spécifiques des personnes concernées en vertu de la loi sur la protection des données. Ceux-ci incluent :
Lors d'une faille de sécurité affectant des données à caractère personnel, les responsables du traitement des données ont 72 heures pour informer l'autorité de contrôle (l'autorité publique du pays membre de l'Union européenne désignée pour la supervision de la conformité). Les exigences supplémentaires en matière de notification des failles de sécurité comprennent :
Le RGPD définit une approche à plusieurs niveaux pour appliquer des amendes aux contrevenants à sa réglementation. Il existe deux niveaux d'amendes en fonction de la portée et du type de violation :
Le plus grand problème sur lequel la plupart des entreprises se sont concentrées lors de l'adoption du RGPD en 2016 était la capacité des régulateurs à imposer des amendes financières sévères en cas de non-conformité. Les organismes de réglementation peuvent donner une amende à une entreprise pour toute infraction, notamment si elle ne traite pas correctement les données personnelles, ne possède pas de délégué à la protection des données lorsque c'est nécessaire, ou en cas de failles de sécurité.
Plusieurs réglementations sont incluses concernant les données personnelles de tiers (les données provenant de parties autres que les personnes concernées de l'Union européenne) et le partage de données personnelles en dehors de la région. La loi sur la protection des données de 2018 stipule que :
Après le retrait du Royaume-Uni de l'Union européenne, le pays a mis à jour ses lois sur la protection des données et utilise désormais la loi anglaise sur la protection des données (Data Protection Act) de 2018. Elle stipule que les entreprises britanniques qui travaillent avec des clients et des organisations de l'Union européenne doivent se conformer au RGPD.
Il convient de noter que le RGPD impose une responsabilité égale aux sous-traitants des données et aux responsables du traitement des données. Cela signifie qu'un sous-traitant tiers non conforme affecte l'état de conformité d'une organisation. La loi prévoit également des exigences strictes en matière de signalement des violations dans la chaîne.
Par conséquent, les contrats existants d'un responsable du traitement des données avec des sous-traitants tels que les fournisseurs SaaS, les fournisseurs de services de paie ou les fournisseurs de cloud et les clients doivent expliquer clairement les responsabilités. L'accord doit également définir des processus cohérents pour gérer, collecter, protéger, stocker les données et signaler les violations.
Comment une entreprise assure-t-elle la conformité ? Les réglementations décrivent les résultats attendus de la gestion responsable des données, mais ne spécifient pas de mesures techniques pour atteindre cet objectif. Voici quelques bonnes pratiques pour assurer la conformité :
La transformation numérique a redéfini les exigences réglementaires imposées aux entreprises à l'échelle mondiale. En raison de la nature de leurs activités, les entreprises américaines sont désormais soumises à plusieurs réglementations de conformité en matière de cybersécurité, telles que le RGPD et la loi California Consumer Privacy Act (CCPA). (Voir le CPRA pour une mise à jour du CCPA)
De nombreuses plates-formes de communication et environnements d'exploitation en ligne ont rendu l'administration de la conformité exigeante et coûteuse. Par conséquent, les entreprises recherchent des moyens efficaces et abordables de rester conformes tout en stimulant la productivité et en développant leurs activités.
Le portefeuille intégré de fonctionnalités de conformité des données Veritas synthétise les éléments présents sur différentes sources de données afin de rationaliser l'accès, de garantir la conformité, de fournir des informations, de prendre en charge l'analyse et de limiter les risques organisationnels.
L'approche intégrée de Veritas en matière de conformité et de gestion des données d'entreprise transforme le Big Data en informations exploitables. De plus, les fonctionnalités de création de rapports et de visualisation de notre intégration Data Insight permettent aux utilisateurs de classer les données à risque, d'engager les propriétaires de données et d'annuler l'accès aux données personnelles sensibles afin d'améliorer la conformité des données et la prise de décision.
En outre, le moteur de classification intégré de Veritas élimine les problèmes des dark data liés à la sécurité et à la conformité des données. En tant que leader du Magic Quadrant de Gartner, nous sommes les leaders du marché de l'archivage des informations d'entreprise. Les utilisateurs peuvent archiver et récupérer leurs données depuis la source et vers la cible de leur choix.
Veritas propose un portefeuille de produits intégré inégalé sur le marché. Il est soutenu par un écosystème technologique complet et robuste avec aucun autre fournisseur ne se rapprochant du niveau et de la polyvalence fournies par Veritas Enterprise Data Services.