Home / Êtes-vous prêt pour la RGPD ?

Êtes-vous prêt pour la RGPD ?

L’Europe a voté le RGPD (pour « Règlement général sur la protection des données » ou en anglais : General Data Protection Regulation, GDPR) La RGPD doit permettre d’harmoniser le droit de la protection des données personnelles au sein de l’Union européenne et de moderniser ses principes à l’ère numérique.

  • Français
  • English

Êtes-vous prêt pour la RGPD ?

L’Europe a voté le RGPD (pour « Règlement général sur la protection des données » ou en anglais : General Data Protection Regulation, GDPR)

La RGPD doit permettre d’harmoniser le droit de la protection des données personnelles au sein de l’Union européenne et de moderniser ses principes à l’ère numérique. Dit comme ça c’est pas passionnant mais vous allez voir, ce texte est très important.

En effet, cela va obliger toutes les entreprises européennes à adapter leurs outils et leurs procédures avant l’application du texte le 25 mai 2018.

L’article 32 du RGPD sur la sécurité des traitements de données précise les différents critères que les sociétés doivent prendre en compte pour déterminer le niveau de sécurité à adopter. Par exemple: l’état de l’art, les coûts de mise en œuvre de la sécurité, le traitement concerné y compris sa finalité et son contexte, et la probabilité et la gravité des risques pour les droits et libertés des personnes.

La logique consiste à adapter les mesures de sécurité aux risques identifiés pour les traitements de données personnelles.

Attention, grosse innovation, le RGPD prévoit aussi l’évaluation des risques sur la vie privée présentés par le traitement de données. Il incombe alors aux sociétés de réaliser une étude d’analyse d’impact pour tous les traitements de données susceptibles de générer un risque élevé sur la vie privée des personnes concernées.

Selon le RGPD, certains traitements de données sont considérés comme risqués et soumis à une étude d’analyse d’impact, du fait de la nature des données traitées (traitement à grande échelle de données sensibles ou pénales) ou de leur finalité (profilage, surveillance à grande échelle de zones accessibles au public …).

S’agissant des garanties à mettre en place, l’article 32 énumère certaines mesures susceptibles d’être utilisées par les sociétés tels que :

  • le recours à la pseudonymisation
  • le chiffrement des données
  • l’adoption de moyens permettant de garantir la confidentialité
  • l’intégrité, la disponibilité et la résilience des systèmes
  • l’adoption de moyens permettant de rétablir la disponibilité et l’accès aux données personnelles en cas d’incident technique ou physique
  • la vérification régulière des mesures

Les codes de bonne conduite et les certifications mentionnés dans le RGPD sont des solutions également susceptibles d’être envisagées en ce qui concerne la sécurité.

La RGPD ou GDPR fournit les droits suivants pour les individus :

  • Le droit d’être informé
  • Le droit d’accès
  • Le droit à la rectification
  • Le droit d’effacer
  • Le droit de restreindre le traitement
  • Le droit à la portabilité des données
  • Le droit d’objecter
  • Droits relatifs à la prise de décision automatisée et au profilage

Vous l’aurez compris, en plus d’offrir à l’internaute un haut niveau de sérénité concernant ses données personnelles, la détection des incidents et leur rectification en amont permettent d’éviter la notification puisqu’il n’y a pas de violation.

Cette nouvelle réglementation impose l’établissement d’un état des lieux des traitements de données mis en œuvre au sein de la société, ce qui permettra notamment de déterminer les priorités pour la mise en conformité ainsi que son accompagnement.

Pour le plan de la sécurité, l’introduction de la pratique du Bug Bounty me semble vivement recommandée afin de détecter les incidents de sécurité en amont, et donc de les prévenir en corrigeant les failles découvertes.

Si vous voulez plus d’infos, le texte officiel est disponible ici en PDF.

Are you ready for the GDPR?

Europe voted for the RGPD (General Data Protection Regulation, GDPR)

The RGPD aims to harmonise personal data protection law within the European Union and to modernise its principles in the digital age. Said like that it’s not exciting but you’ll see, this text is very important.

Indeed, this will oblige all European companies to adapt their tools and procedures before the text is applied on 25 May 2018.

Article 32 of the DPR on data processing security specifies the different criteria that companies must take into account when determining the level of security to be adopted. For example: the state of the art, the costs of implementing security, the processing operation concerned, including its purpose and context, and the likelihood and severity of risks to the rights and freedoms of individuals.

The logic is to adapt security measures to the risks identified for the processing of personal data.

Attention, big innovation, the RGPD also provides for the assessment of the privacy risks presented by data processing. It is then up to the companies to carry out an impact assessment study for all data processing operations likely to create a high risk on the privacy of data subjects.

According to the RGPD, certain data processing operations are considered to be risky and subject to an impact assessment study, due to the nature of the data processed (large-scale processing of sensitive or criminal data) or their purpose (profiling, large-scale surveillance of publicly accessible areas, etc.).

With regard to the safeguards to be put in place, Article 32 lists certain measures that can be used by companies such as:

  • the use of pseudonymization
  • data encryption
  • the adoption of measures to ensure confidentiality
  • system integrity, availability and resilience
  • the adoption of measures to restore availability and access to personal data in the event of a technical or physical incident
  • regular verification of measurements

The codes of conduct and certifications mentioned in the DPR are also possible security solutions.

The RGPD or GDPR provides the following rights for individuals:

  • The right to be informed
  • The right of access
  • The right to rectification
  • The right to erase
  • The right to restrict processing
  • The right to data portability
  • The right to object
  • Automated decision making and profiling rights

You will have understood this, in addition to offering the Internet user a high level of serenity regarding his personal data, the detection of incidents and their rectification upstream avoid notification since there is no violation.

This new regulation requires the establishment of an inventory of data processing operations implemented within the company, which will make it possible in particular to determine the priorities for compliance and its support.

For the security plan, the introduction of the Bug Bounty practice seems to me strongly recommended in order to detect security incidents upstream, and thus to prevent them by correcting the faults discovered.

For more information, the official text is available here in PDF format.

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :