Le RGPD, c'est quoi ?
Le Règlement Général de Protection des Données (RGPD) est un texte législatif qui engage les personnes concernées à la protection des données personnelles et des droits individuels. Le RGPD remplace la directive 95/46/EC sur la protection des données.
Il a été préparé pour harmoniser les lois sur la protection des données à travers l'Europe, pour protéger et donner du pouvoir à tous les citoyens de l'UE sur la protection des données et pour réorganiser la façon dont les entreprises gèrent la protection des données. Le RGPD demande aux entreprises d'implanter des idées raisonnables pour protéger leurs données, comme le chiffrement, pour les protéger contre la perte ou la divulgation.
La date d'entrée en vigueur du RGPD est le 25 mai 2018.
Qui cela concerne-t-il ?
Le RGPD s'applique à toutes les entreprises situées dans l'UE ou en dehors de l'UE quand elles détiennent et travaillent avec les données personnelles de citoyens de l'UE, pour : proposer des biens ou des services ou suivre leurs comportements au sein de l'UE.
Comment le chiffrement de données aide-t-il à respecter les critères ?
Comme il est écrit dans l'article 83 du RGPD :
"Dans le but de maintenir la sécurité et d'éviter une gestion qui enfreindrait ce règlement, le contrôleur ou vérificateur devrait évaluer les risques inhérents à la gestion et implanter des mesures qui réduisent ces risques, comme le chiffrement."
Les entreprises doivent s'assurer que leurs données personnelles sont stockées en sécurité, que ce soit dans les locaux ou sur un cloud, pour éviter de coûteuses intrusions. Les fichiers qui ont été chiffrés seront rendus inutiles lors d'une intrusion.
Quelles sont les pénalités en cas de non-respect ?
Il est possible de mettre aux entreprises une amende allant jusqu'à 4% de leurs bénéfices annuels ou 20 millions d'euros (en fonction du plus élevé) pour non-respect du RGPD. C'est l'amende maximale qui peut être imposée pour les non-respects les plus graves. Il est important de noter que ces règles s'appliquent aux contrôleurs et aux applicateurs, ce qui veut dire que les clouds ne sont pas exempts de RGPD.
Comment le RGPD gère-t-il les intrusions au niveau des données personnelles ?
Dans le cas d'une intrusion au niveau des données personnelles, le contrôleur doit, sans délai inutile, et, quand c'est possible, moins de 72 heures après avoir appris la nouvelle, notifier ses supérieurs de l'intrusion.
Quelles sont mes principales responsabilités par rapport au RGPD ?
Si votre entreprise gère des données personnelles, le Bureau du Commissaire à l'Information (ICO) signale que l'on attend de vous que vous mettiez en place des mesures de gouvernance exhaustives et proportionnées. Ces mesures doivent minimiser le risque d'intrusion et garantir la protection des données personnelles. Les responsabilités exactes qui s'appliquent sont différentes pour chaque entreprise, en fonction de sa taille, son secteur et du type de données stockées.
Mon site web respecte-t-il le RGPD ?
D'après vpnMentor, seuls 34% des sites web dans l'UE respectent actuellement le GDPR. "La plupart des sites web ont soit d'anciennes politiques de confidentialité, soit, dans certains cas, aucune politique du tout, et ne sont absolument pas prêts pour des règles plus strictes sur la confidentialité."
Pour pouvoir déterminer quels sites web collectent des informations, et ont ainsi besoin de mettre à jour leur politique de confidentialité, vpnMentor a fondé ses recherches sur les sites qui utilisent MailChimp pour collecter les adresses e-mail des utilisateurs. Ils ont analysé jusqu'à 100 sites par pays et ont examiné leur politique de confidentialité, s'ils en avaient une, pour déterminer si elle respectait le RGPD.
Quelle influence aura le Brexit sur le RGPD ? Cela s'appliquera-t-il aux entreprises du Royaume-Uni ?
Si votre entreprise est située au Royaume-Uni, il faudra aussi qu'elle se soumette aux règlements de l'UE. Le Royaume-Uni a déclaré qu'il se soumettra au RGPD et que cette décision ne sera pas affectée par le Brexit.