La gestion et la sécurité des données personnelles des citoyens européens sont réglementées par le " Règlement général sur la protection des données " ou en abrégé " le RGPD". Celui-ci est en vigueur depuis le vendredi 25 mai 2018 et signifie que chaque organisation doit être en mesure de démontrer quelles données personnelles elle collecte et comment ces données sont utilisées et sécurisées.
Toutes les entreprises, services publics, organisations et institutions qui traitent, utilisent, enregistrent ou stockent des données personnelles en Europe doivent se conformer à cette directive. Il s'agit d'un ensemble de directives visant à protéger les données personnelles et à maintenir leur intégrité.
Certains des principes du GDPR sont :
- Toute organisation qui collecte et/ou traite des données doit demander l'autorisation de le faire et son objectif doit être clairement énoncé.
- En outre, les données doivent être traitées de manière sécurisée en utilisant des mesures techniques et organisationnelles appropriées.
- Vos données ne peuvent pas non plus être conservées indéfiniment. Une période de conservation claire doit être convenue dans l'accord. À l'expiration de cette période, les données doivent être rendues inaccessibles.
Qu'est-ce qu'un DPD ?
Dans les grandes organisations, un DPO(délégué à la protection des données) doit être nommé pour contrôler la conformité au GDPR. Il doit s'agir d'une personne ayant de bonnes connaissances juridiques en termes de droit de la protection des données, ainsi que de droit administratif. En outre, un DPO devrait également avoir une bonne compréhension des activités de traitement effectuées, des systèmes d'information et des besoins du responsable du traitement en termes de protection et de sécurité des données. Dans les petites organisations, il n'est cependant pas toujours possible de recruter un DPD dédié, mais une personne doit tout de même être désignée comme responsable du traitement des données pour ces tâches (en plus de ses fonctions principales).
Cliquez ici si vous souhaitez en savoir plus sur les responsabilités du DPD.
Le traitement des données à caractère personnel constitue-t-il une atteinte à la vie privée ?
Pas nécessairement. Selon le GDPR, chaque fois que vous traitez des données à caractère personnel en tant qu'organisation, vous commettez en fait une atteinte à la vie privée des personnes, À MOINS que vous n'ayez de bonnes raisons ou de bons objectifs.
Après tout, en tant qu'entreprise, vous devez souvent traiter des données à caractère personnel pour accomplir des tâches liées à vos activités commerciales. Sans ces données, les opérations commerciales sont tout simplement impossibles.
Le GDPR fournit 6 raisons ou bases légales pour traiter les données personnelles:
- Consentement : Par exemple, vous remplissez toutes sortes de données personnelles pour passer une commande dans votre boutique en ligne préférée ou pour profiter des avantages d'une carte de fidélité dans un magasin physique. Vous partagez ensuite consciemment certaines données avec l'organisation (commerciale) concernée.
- Obligation légale : par exemple, facturation des clients, enregistrement au travail.
- Nécessité d'exécuter un accord : par exemple, les données nécessaires à la gestion des salaires de vos employés.
- Intérêt vital d'une personne : par exemple, votre dossier médical chez votre médecin ou dans un établissement de soins.
- Intérêt public : par exemple, la ville est autorisée à organiser la politique de stationnement sur son territoire, mais ne peut valider les cartes de résidents sans disposer de certaines données personnelles.
- Intérêt justifié : par exemple, informer les clients après l'achat par des mailings sur d'éventuels (autres) produits ou développements pertinents, utiliser des caméras pour la protection des biens ou des personnes, etc.
Quelle est l'importance du GDPR ?
L'objectif principal du GDPR est de redonner aux gens le contrôle de leurs données personnelles. De cette façon, chaque citoyen de l'UE est protégé. Mais l'introduction du GDPR est également bénéfique pour les organisations, même si elles doivent faire face à un certain nombre d'obstacles ou de défis avant de pouvoir se dire conformes au GDPR. La réglementation normalisée signifie un environnement réglementaire simplifié pour les entreprises internationales. Elle réglemente le transfert de données personnelles vers des pays extérieurs à l'UE et a une incidence sur la conduite des affaires avec intégrité en Europe et au-delà.
Le GDPR s'applique pour protéger tous les citoyens de l'UE. Cela signifie donc que les organisations situées en dehors de l'Europe doivent suivre les mêmes directives lorsqu'elles collectent et traitent les données des citoyens de l'UE, même si les lois de leur propre pays sont différentes.
Il vaut mieux qu'il y ait maintenant des règles claires.
Traitement des données avant l'entrée en vigueur du GDPR
Avant le 25 mai 2018, il existait bien sûr toutes sortes de règles et de lois concernant la vie privée. Mais celles-ci avaient été élaborées pays par pays, elles n'étaient donc pas les mêmes partout. Un point supplémentaire était que malgré les règles existantes, il n'y avait pas de sanctions claires liées à leur violation. Avec l'essor du big data et d'autres évolutions technologiques, cette fragmentation ne fonctionne plus. Le besoin d'uniformité et d'un cadre juridique commun est devenu impératif.
Les organisations ont eu le temps de s'adapter à cette nouvelle législation, qui avait déjà été approuvée au Parlement européen en 2016. Les organisations qui osent ne pas respecter les règles après le 25 mai 2018 risquent des amendes importantes.
La violation du principe dit de finalité relève de la catégorie la plus lourde, avec une amende maximale de 20 millions d' euros ou, pour les entreprises, jusqu'à 4 % de leur chiffre d'affaires annuel total!
Les faits du jour : 1,1 milliard d'euros d'amendes GDPR en 2021
Quelques faits chiffrés notables concernant les amendes liées au GDPR :
- La toute première amende GDPR en Belgique a été infligée à un bourgmestre qui avait utilisé des données personnelles, obtenues dans le cadre de ses fonctions, pour sa campagne électorale. L'amende s'est élevée à 2000 euros.
- En Belgique, 508 000 euros d'amendes ont été infligés depuis l'entrée en vigueur du GDPR.
- Même la police nationale néerlandaise a reçu une amende pour protection inadéquate des données.
- Selon les chiffres du cabinet d'avocats DLA Piper, parus dans un article de Datanews de janvier 2022, 1,1 milliard d'euros d'amendes pour atteinte à la vie privée ont été prononcées en Europe en 2021. C'est 7 fois plus qu'en 2020 !
- L'amende la plus élevée que nous ayons vue est celle du Luxembourg, avec un montant spectaculaire de 746 millions d'euros pour Amazon.
Un record qui nous inspire des sentiments mitigés : d'une part, il montre que la vie privée n'est pas très présente dans l'agenda de (certains) géants de la technologie. D'autre part, il montre également que le GDPR fait ce pour quoi il a été créé. - DLA Piper note également une croissance de 8% des rapports de violations de données pour l'année écoulée.
Violations de données ≠ Cybercriminalité
Un article (malheureusement pas si récent) de Belgium Cloud énumère les causes les plus courantes des violations de données. La plupart des fuites ne sont pas causées par des entreprises douteuses qui n'ont pas mis le GDPR en tête de leurs priorités ou par des cybercriminels qui veulent extorquer de l'argent à des organisations ou des particuliers.
Non, le plus grand danger réside dans notre propre inattention ou ignorance !
Les types les plus courants de fuites de données :
- Erreur humaine: nous connaissons tous (ou avons connu) quelqu'un qui a involontairement envoyé un fichier contenant des informations sensibles à une adresse électronique incorrecte. Il s'agit clairement d'une violation de données.
- Piratage, hameçonnage et logiciels malveillants
- Support de vol: informations sensibles stockées sur une clé USB, un ordinateur portable ou un smartphone volé.
- Défaillance du système
- Utilisation inappropriée des droits d'accès.
Obligation de signaler les violations de données
Le responsable du traitement des données de toute organisation est tenu d'enregistrer toutes les violations de données. Cette personne doit procéder à une évaluation du risque : la violation affecte-t-elle potentiellement les droits et libertés des personnes concernées ? Ensuite, le responsable du traitement des données ou le DPD est tenu de le signaler à l'autorité de protection des données dans les 72 heures.
Pour souligner les différences de risques, évoquons brièvement la fuite Log4J qui a fait surface à la mi-décembre 2021. La fuite concerne un outil utilisé pour enregistrer les applications Java et les pirates en profitaient déjà. La fuite leur permet d'injecter du code à distance.
Les sites du gouvernement israélien ont été attaqués, mais le ministère de la Défense belge a également été victime des pirates. Le trafic de courrier du ministère de la défense a été interrompu pendant un mois. Ce type de fuites, que les groupes de pirates peuvent également utiliser à bon escient, représente naturellement un risque bien plus important que votre collègue qui n'a pas "verrouillé" son écran lorsqu'il va aux toilettes (et cela dépend également de sa position et du type d'organisation).
Suivo et données sensibles
Suivo ne devient jamais le "propriétaire" des données de ses clients, mais les données sont au cœur de notre activité. Traiter les données de nos clients avec intégrité est donc une priorité pour nous.
Il est utile de savoir que Suivo :
- fait appel à une plateforme de hacking éthique et de bug bounty pour minimiser les risques de cybersécurité. Les white hat hackers effectuent des pen tests en permanence. En cas d'irrégularité, nous sommes les premiers à le savoir et des mesures peuvent être prises rapidement.
- crypte toujours les données "en transit" ou "au repos".
- ne collecte et ne stocke les données que sur les serveurs des entreprises qui peuvent elles-mêmes démontrer leur conformité au GDPR.
- établit un accord clair pour le traitement des données personnelles, connu, approuvé et signé par les parties concernées. Cet accord décrit à la fois les mesures de sécurité techniques et organisationnelles, ainsi que les accords sur la confidentialité et les catégories de données personnelles nécessaires au fonctionnement des applications et modules souhaités sur la plateforme IoT.