À partir du 25 mai 2018, toutes les entreprises faisant affaire avec des résidents de l’Union européenne (UE) doivent se conformer au Règlement Général sur la Protection des Données (RGPD).
Comment les entreprises peuvent-elles protéger les renseignements personnels identifiables en vertu du RGPD et éviter une pénalité en cas de non-respect ?
Qu’est-ce que le Règlement Général sur la Protection des Données (RGPD)
Le RGPD est un nouveau règlement de l’UE qui obligera les entreprises à mettre en œuvre des politiques, procédures et technologies visant à améliorer la protection de la vie privée des consommateurs. Cette loi donne également aux citoyens de l’UE davantage de droits sur les données enregistrées et stockées par les entreprises.
Le RGPD s’applique à toutes les entreprises qui font des affaires avec des citoyens de l’UE, qu’elles soient basées ou non dans l’UE. Cela signifie qu’une entreprise disposant d’un site web accessible aux résidents de l’UE serait tenue de s’y conformer.
Les renseignements personnels identifiables comprennent un large éventail d’éléments d’information concernant les consommateurs. En plus des noms, adresses, numéros de téléphone, informations financières et médicales, ces renseignements incluent les adresses IP, les identifiants de connexion, les vidéos, les photos, les messages sur les médias sociaux et les données de localisation, notamment les informations permettant d’identifier une personne spécifique.
Des politiques doivent être élaborées concernant les personnes dont les données sont collectées, les responsables du traitement (organisations qui collectent les données) et les sous-traitants (entreprises qui traitent les données). Des registres doivent être tenus sur la façon dont les données sont recueillies, stockées, utilisées et supprimées lorsqu’elles ne sont plus nécessaires.
Certaines entreprises sont tenues de nommer un délégué à la protection des données (DPD) dont le rôle est de veiller au respect du RGPD. Cette personne doit avoir une compréhension approfondie concernant le RGPD et une connaissance technique des processus, des procédures et de la structure de l’organisation.
D’une part, les entreprises doivent s’assurer que les données sont stockées en toute sécurité et que les consommateurs ont le droit de voir leurs données stockées effacées. D’autre part, le RGPD les oblige à divulguer rapidement les atteintes à la protection des données, à savoir dans les 72 heures suivant leur découverte.
Le non-respect du RGPD pourrait entraîner de lourdes amendes, allant jusqu’à 20 000 000 euros ou jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise concernée, le montant le plus élevé étant retenu.
Beaucoup d’entreprises ne sont pas encore préparées au RGPD ou pensent que ce règlement ne les concerne pas. D’autres se sont rendu compte de l’ampleur du travail à accomplir et se sont efforcés de mettre leur entreprise en conformité avant l’échéance. Pour de nombreuses entreprises, le coût de la conformité a été considérable.
Comment puis-je protéger les renseignements personnels identifiables dans le cadre du RGPD ?
Le RGPD impose un certain nombre de restrictions sur ce que les entreprises peuvent et ne peuvent pas faire avec les données et la manière dont celles-ci doivent être protégées, bien qu’aucun contrôle spécifique ne leur soit exigé pour protéger les renseignements personnels identifiables en vertu de la réglementation. Quant à la technologie utilisée pour protéger les données, elle est laissée à la discrétion de chaque entreprise. En réalité, il n’existe pas de modèle normalisé pour protéger les renseignements personnels identifiables dans le cadre du RGPD.
Un bon point de départ consiste à examiner les processus et les systèmes qui recueillent et stockent les données. Elles doivent être localisées avant de pouvoir être protégées. Les systèmes et processus doivent également être identifiés pour assurer l’application de contrôles appropriés.
Le RGPD est rattaché au droit à l’oubli (ou droit à l’effacement), de sorte que toutes les données relatives à une personne doivent être effacées lorsqu’une personne le demande. Il est donc essentiel qu’une entreprise sache où se trouvent toutes les données relatives aux personnes pour lesquelles les données ont été collectées. Par ailleurs, des contrôles doivent être mis en place pour restreindre l’accès des personnes ayant accès aux données des consommateurs et une formation doit être dispensée pour que tous les employés connaissent le RGPD et la façon dont il s’applique à eux.
Les entreprises devraient procéder à une évaluation des risques pour déterminer le niveau pertinence et de gravité des dangers. Cette évaluation peut être utilisée pour déterminer les technologies les plus appropriées à mettre en œuvre.
Des technologies permettant la pseudonymisation et le chiffrement des données devraient être envisagées. Si les données sont stockées sous forme chiffrée, elles ne sont plus considérées comme des données personnelles.
Les entreprises doivent envisager de mettre en œuvre une technologie qui améliore la sécurité des systèmes et des services de traitement des données ; des mécanismes qui permettent de restaurer les données en cas de violation, ainsi que des politiques qui testent régulièrement les contrôles de sécurité.
Pour protéger les renseignements personnels identifiables dans le cadre de RGPD, les organisations doivent sécuriser tous les systèmes et applications utilisés pour stocker ou traiter des données personnelles et mettre en place des contrôles pour protéger leurs infrastructures informatiques. Il faudrait également mettre en place des systèmes permettant aux entreprises de détecter les atteintes à la protection des données en temps réel.