gdpr europe règlement

GDPR : tout savoir sur le règlement européen des données personnelles

Le GDPR est un règlement européen des données personnelles récemment promulgué rentré en application au cours de l'année 2018. Il demande cependant aux entreprises de s'y confirmer rapidement au risque de subir de lourdes sanctions. 

Le règlement général sur la protection des données en Français ou GDPR (General Data Protection Regulation) ne date pas d'hier. Couché sur le papier par la Commission Européenne, ce projet né en 2012 est finalement promulgué le 14 avril 2016, après quatre ans de longues négociations législatives.

GDPR Définition

Le remplacement de la directive 95/46/CE sur la protection des données personnelles (datant de 1995) concerne les Etats membres et les entreprises à l'international.

En effet, les obligations issues du GDPR induit un changement profond dans la manière de gérer les données personnelles. Cela s'applique à toutes les entreprises qui hébergent, enregistrent, des données de résidents européens ou des organisations au sein de l'UE.

: des risques pour les personnes et les sociétés

Avec l'utilisation quotidienne des réseaux sociaux, des plateformes administratives en ligne, des services bancaires par Internet et l'émergence des objets connectés, nos données sont partout sur la Toile. Les données à caractère personnel sont définies par l'article 4 du GDPR :

[su_button url= »https://www.lebigdata.fr/assistance-rgpd » target= »self » style= »3d » background= »#f88c00″ color= »#FFFFFF » size= »6″ wide= »no » center= »no » radius= »auto » icon= » » icon_color= »#FFFFFF » text_shadow= »none » desc= » » onclick= » » rel= » » target= »_blank » title= » » id= »RGPD » class= » »]Cliquez ici pour un accompagnement sur le RGPD[/su_button]

“comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.”

Mieux protéger les données des citoyens européens

De par cette définition englobante, le GDPR touche un grand nombre d'infrastructures publiques et d'entreprises. L'objectif est clair : protéger les individus du cybercrime. En effet, les attaquants informatiques sont friands des services en ligne, souvent sensible aux failles de sécurité. A l'aide de différentes modalités, des hackers malveillants récupèrent des listes de coordonnées bancaires, des identifiants de comptes de services, et même des informations soumises au secret professionnel.

François Hollande anticipe les risques de cyberattaques lors des élections présidentielles

L'attaque massive contre Sony Computer Entertainment en novembre 2014 en est un bon exemple. Plus récemment, les attaques au moment de l'élection américaine de 2016 auraient influencé le résultat. Ce genre de préjudice touche autant les internautes que les entreprises et les états.

Des sanctions lourdes pour les contrevenants au GDPR

Le GDPR tend à répondre à cette problématique. Il est censé renforcer la protection et la surveillance de la circulation des données à caractère personnel. Depuis 25 mai 2018, les organismes publics et privés qui gèrent ces informations sont soumises à une réglementation stricte.Celle-ci est détaillée par la commission européenne à travers 99 articles compris dans le texte officiel du GDPR.

sanctions gdpr 4 pourcent du ca

Pour les entreprises, une raison majeure pousse à adopter la régulation GDPR : les sanctions lourdes. Jean-Christophe Lecosse, directeur général du CNRFID déclarait à objetconnecte.com :

“Il faut savoir que les entreprises qui mettent en œuvre des solutions et qui ne respecteront pas cette réglementation pourront être pénalisées de 4% de leur chiffre d'affaires mondial. C'est une extrême nouveauté et la sanction est particulièrement forte pour les grands groupes. Il s'agit de l'un des enjeux à propos duquel nous sommes très attentifs.[…]”.

Un contrôle renforcé

Si le CNRFID est l'organisme de mise en avant des technologies du sans contact, il n'en reste pas moins un des acteurs de ce changement :

Nous sommes les administrateurs de la plateforme Web en Europe sur laquelle les fabricants de solutions peuvent enregistrer les caractéristiques de leurs produits permettant de protéger la vie privée.

Dans les propos du Directeur Général, deux notions transparaissent, deux notions que l'on retrouve souvent dans le droit. Les sanctions et le contrôle sont ici renforcés avec le GDPR. Le contrôle est opéré par les pays, l'UE et les entreprises elles-mêmes. Pour ces organismes privés, le non-respect du GDPR peut aboutir à une sanction financière équivalente à 4 % de leur chiffre d'affaires mondial ou 20 millions d'euros.

Cependant, résumer cette réglementation à ces aspects serait parfaitement abscons.

[su_button url= »https://www.lebigdata.fr/assistance-rgpd » target= »self » style= »3d » background= »#f88c00″ color= »#FFFFFF » size= »6″ wide= »no » center= »no » radius= »auto » icon= » » icon_color= »#FFFFFF » text_shadow= »none » desc= » » onclick= » » rel= » » target= »_blank » title= » » id= »RGPD » class= » »]Cliquez ici pour un accompagnement sur le RGPD[/su_button]

Les points importants de la réglementation GDPR

Le GDPR a un véritable intérêt pour les citoyens des 28 pays membres de l'UE. Il renforce l'information sur l'usage des données, uniformise les règlements concernant la protection des données et instaure la possibilité du droit à l'oublie à l'échelle européenne.

De plus, les internautes et les utilisateurs de services impliquant des données personnelles peuvent demander la portabilité de ces dernières d'un service à un autre.

points gdpr

De leurs côtés, les entreprises de plus de 250 employés ont l'obligation de nommer un délégué à la protection des données et des représentants.

Ces responsables ont pour mission de contrôler le respect du GDPR et de conseiller le Chief Protection Officer sur les applications possibles. Il est également “l'interface” entre l'entreprise et l'organisme de régulation.

Dans ce cadre, ils doivent veiller à la sécurisation par défaut des données à caractère personnel, que ce soit celles émises par les clients ou par les employés. Cette notion de “Privacy by Design” devient alors primordial et demande une réorganisation de l'enregistrement de la donnée.

Un registre des opérations à maintenir à jour obligatoirement

Les responsables s'assurent que les données sont sécurisées qu'elles soient hébergées sur leur système IT ou dans le Cloud. En cas de perte, de vol, de corruption, de modification, les entreprises disposent de 72 heures pour notifier l'autorité de son pays, en France la CNIL. Si le problème atteint un individu en particulier, lui aussi recevra une notification dans le temps imparti des 3 jours.

En amont de ces notifications, la circulation des données et les différents traitements doivent être enregistrés. Les autorités compétentes  autour du GDPR, comme la CNIL consultent les différentes opérations depuis un registre mis à jour en suivant les règles définis dans le texte.

[su_button url= »https://www.lebigdata.fr/assistance-rgpd » target= »self » style= »3d » background= »#f88c00″ color= »#FFFFFF » size= »6″ wide= »no » center= »no » radius= »auto » icon= » » icon_color= »#FFFFFF » text_shadow= »none » desc= » » onclick= » » rel= » » target= »_blank » title= » » id= »RGPD » class= » »]Cliquez ici pour un accompagnement sur le RGPD[/su_button]

GDPR : des changements pour beaucoup d'entreprises

Identifier, classifier et effacer la donnée font partie des spécialités de l'entreprise Veritas. Cette filiale du groupe Symantec est une spécialiste de la sauvegarde et du tri de la donnée sur disque dur et dans le Cloud depuis près de dix ans. Typiquement, les outils vendus par Veritas permettent d'appliquer le droit à l'oubli dans les systèmes d'informations des entreprises.

Selon Thierry Lottin, Directeur France de Veritas, “la Data est devenue un risque financier”. L'application du GDPR apparaît alors comme “bénéfique” pour son entreprise et ses clients :
Le GDPR nous permet de nous positionner sur un nouveau de la classification de la donnée avec des outils comme Data Insights afin de voir si la donnée est utilisée, par qui, depuis combien de temps, etc.

Profiter d'un règlement d'apparence contraignant

Cela a aussi un avantage afin de classifier des données souvent oubliées. Ces dernières sont parfois critiques et peuvent conditionner le risque financier évoqué par Thierry Lottin “puisqu'elles n'ont plus rien à faire dans le système d'information des clients”. Ces données hébergées par une entreprise peuvent parfois être associés à de la Dark Data.

GDPR donnees personnelles

Je dirais que le GDPR va apporter la capacité aux clients de mettre en avant soit des budgets, soit une politique de justification de la donnée de manière à éviter les risques associés à cette régulation, mais également de leur permettre de mettre de l'ordre dans leur data pour faire des économies d'échelle assez importante.

En cela, la libération des espaces de stockage au sein des datacenters optimise les investissements dans les infrastructures. Cela limite la duplication des données à outrance tout en affinant le niveau de sécurité.

Un manque de préparation évident en 2018

Pourtant, les entreprises ne semblent pas toutes préparées à l'application du GDPR en 2018 selon une étude menée par Veritas, intitulée Global Databerg. Après avoir sondé en 2016 plus de 2 500 décideurs IT en 2016 en Europe, au Moyen-Orient, en Afrique, aux États-Unis et en Asie Pacifique, cette dernière révèlaiet que 54% d'entre eux n'avaient pas encore mis en place les mesures nécessaires pour être conforme au GDPR.

“Toutes les entreprises ne sont pas dans le même cas” précise Thierry Lottin.” Les banques ou les assurances sont déjà soumises à certains nombres de normes. Les équipes de ces sociétés travaillent déjà à l'application du GDPR. Ensuite, il y a des entreprises qui n'étaient pas jusqu'alors concernées et qui prennent conscience des risques et des avantages grâce à la couverture médiatique. Aujourd'hui tous nos clients nous en parlent.”

A moins d'un an de l'application du GDPR, encore de fortes réticences

Encore faut-il que les entreprises veuillent bien s'y plier. Le cabinet d'étude Pierre Audouin Consultants a réalisé une enquête auprès de 200 responsables européens issus des pays suivant : Allemagne, France, Pays-Bas, Irlande, Royaume-Uni et Scandinavie. Ces responsables des solutions d'infogérance en sécurité sont seulement 20 % a considéré la conformité au GDPR comme un objectif majeur. 55 % d'entre eux voient cette application comme un objectif mineur. Pour ce personnel hautement qualifié, il s'agit principalement d'automatiser les opérations de sécurité et de réduire les coûts. Pourtant, le GDPR peut servir de facilitateur d'économie. Il suffit de s'y préparer.

Cette préparation pose pourtant problème pour les 500 responsables informatiques d'entreprises de plus de 1000 salariés récemment interrogés par le cabinet Vanson Bourne en France, en Allemagne, au Royaume-Uni et aux États-Unis. À moins d'un an de l'application du GDPR, 75 % des interrogés estimaient que le délai de mise en conformité ne serait pas respecté malgré que 42 % des entreprises en fassent une priorité.

Des retards parfois importants

La cause de ce retard annoncé ? Des articles de ce nouveau règlement posent problème à 90 % des responsables informatiques. La moitié d'entre eux sont gênés par l'article 32, celui concernant la sécurité du traitement des données. Ils sont 52 % à remettre en question l'article 30, le texte portant sur l'enregistrement des étapes de traitement. L'application du droit à l'oubli, l'article 17, soulève le plus de doute : 55 % de ces CIO le mettent en tête de leur classement.

De même, le recrutement d'un Digital Protection Officer n'a pas encore été effectué et devra se faire dans les prochains mois pour 50 % responsables interrogés.

[su_button url= »https://www.lebigdata.fr/assistance-rgpd » target= »self » style= »3d » background= »#f88c00″ color= »#FFFFFF » size= »6″ wide= »no » center= »no » radius= »auto » icon= » » icon_color= »#FFFFFF » text_shadow= »none » desc= » » onclick= » » rel= » » target= »_blank » title= » » id= »RGPD » class= » »]Cliquez ici pour un accompagnement sur le RGPD[/su_button]

Préparer la conformité au GDPR mai 2018

classification gdpr

Il y a différentes phases à préparer afin de respecter la régulation au moment de sa mise en place. Les cabinets de conseil et les entreprises multiplient les interventions afin de sensibiliser les entreprises et les informer sur les étapes à suivre.  Il faut pouvoir faire un audit des :

  • données hébergées,
  • méthodes de collecte,
  • méthodes de transfert,
  • attributs de sécurité,
  • accès d'authentifications.

Après avoir accompli ces vérifications, il faut ensuite mettre la norme en place, applique les nouvelles règles de traitement des données. Thierry Lottin affirme : « La visualisation dans un système IT, c'est assez simple. Cette vérification s'opère régulièrement. L'étape la plus longue reste la partie management des informations, d'établir des règles pour chaque cas : comment reprendre le contrôle de la donnée ?« 

Une large majorité (68 %) des responsables informatiques ayant répondu à l'étude du cabinet Vanson Bourne déclarent avoir réalisé l'audit de leurs infrastructures. Les 32 % devront le faire dans le temps imparti. Les DSI ayant déjà pris leur “précaution” sont 59 % à avoir détecté au moins une instance d'accès aux données trop laxiste.

Sensibiliser l'ensemble des employés

Evidemment, les DSI et la direction ne sont pas les seuls impactés. Certains métiers réclament d'avoir ces informations à caractère personnel « sous la main ». Il faut donc adapter non seulement l'organisation informatique, mais aussi du personnel au regard du GDPR.

Cela entraîne des coûts importants. Pour y remédier, les entreprises pourraient augmenter le coût de leurs services. Selon l'étude du cabinet Vanson Bourne, 44 % des interrogés envisagent cette possibilité afin de pallier le coût des amendes.

Cependant, ce règlement répond au besoin en matière de transparence. Il rassure les clients des entreprises. En ce sens, les autorités européennes ont établi le cadre pour l'éclosion de labels, certifiant ainsi auprès des usagers des services et des partenaires le respect de la norme européenne. L'organisation et le tri des données facilitent également le bon déroulé des opérations tout en réduisant leurs coûts.

Les entreprises internationales traitant des données à caractère personnel doivent, elles aussi, s'y conformer. On imagine bien les GAFA prêts à rapidement trouver une contre-mesure au règlement GDPR. Quoi qu'il en soit, toutes les entreprises et les sous-traitants concernés doivent être en règle depuis le 25 mai 2018.

Application du GDPR : les premiers conflits entamés

La date butoir étant dépassée, la plupart des entreprises, notamment les hébergeurs et les gestionnaires de sites Web ont mis à jour leur condition d'utilisation. Dans l'ensemble, les entreprises jouent le jeu. Elles envoient des mails et en précisant le type de traitement opéré sur les données. Ce règlement est maintenant applicable dans tous les états membres de l'Union européenne. Comme nous le rapportons depuis le 25 mai 2018, les plaintes se multiplient. En France, la Quadrature du Net a déposé cinq plaintes collectives contre , , et . L'ONG dénonce la manière dont les GAFAM recueillent le consentement des internautes. Outre, le fait que les cases d'accord sont cochées préalablement, la clause stipulant que la continuation du service vaut acceptation est vivement critiquée.

Un équilibre à trouver

Par ailleurs, la Quadrature du Net demande l'interdiction des traitements d'analyse comportementale et du ciblage publicitaire. Or, sous condition de l'accord de l'utilisateur ou anonymisation des données, ces deux pratiques ne sont pas interdites par le GDPR. Et quand bien même les GAFAM seraient sanctionnées, elles devraient mettre à jour leurs conditions d'utilisation et subiraient une amende équivalente au maximum à 4 % de leur chiffre d'affaires. En revanche, elles pourraient continuer à cibler les utilisateurs qui l'acceptent. Par ailleurs, la plupart des sites Web utilisent cette technique à travers les services de Google et de tiers de confiance.

L'imbrication des services reposant sur des technologies développées par quelques acteurs met en péril le secteur de la communication et du marketing Web. Après l'application du règlement, il faut donc trouver le juste équilibre entre respect des données personnelles et continuité des services.

[su_button url= »https://www.lebigdata.fr/assistance-rgpd » target= »self » style= »3d » background= »#f88c00″ color= »#FFFFFF » size= »6″ wide= »no » center= »no » radius= »auto » icon= » » icon_color= »#FFFFFF » text_shadow= »none » desc= » » onclick= » » rel= » » target= »_blank » title= » » id= »RGPD » class= » »]Cliquez ici pour un accompagnement sur le RGPD[/su_button]

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

2 commentaires

2 Commentaires

  1. Sylvain PASSEMAR

    Bonjour,
    Merci pour cet excellent article d’actualité, mais traité avec du recul.
    Cdt Sylvain PASSEMAR

  2. c’est tres bien

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *