![\"GDPR](\"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2016\/10\/GDPR-chapitre-2.jpg?resize=424%2C283\")
<\/p>\n
La mise en conformit\u00e9 \u00e0 la\u00a0GDPR peut, au premier abord, appara\u00eetre comme un fardeau. Cela ne l’est pas. C’est \u00a0un moyen de prot\u00e9ger chacun d’entre nous, car\u00a0nous sommes tous\u00a0l’objet de donn\u00e9es, l’exploitant\u00a0ou encore le v\u00e9rificateur\u00a0de donn\u00e9es. La\u00a0GDPR se concentre sur les donn\u00e9es personnelles. Mais c’est une occasion id\u00e9ale pour investir dans la protection de\u00a0toutes vos donn\u00e9es. Tout cela sera finalement tr\u00e8s\u00a0utile car ce sont vos donn\u00e9es qui sont la\u00a0source de votre\u00a0activit\u00e9 \u00e9conomique.<\/p>\n
Pourquoi prot\u00e9ger les donn\u00e9es de l’Entreprise?<\/h2>\n
Vous pensez ne pas \u00eatre concern\u00e9s car vous produisez des crayons et vous pensez que l’informatique est secondaire dans votre activit\u00e9. Pensez un seul instant\u00a0aux\u00a0donn\u00e9es qui vous sont propres pour\u00a0produire vos crayons. Il y a les sp\u00e9cifications, la propri\u00e9t\u00e9 intellectuelle, les donn\u00e9es sur vos fournisseurs, les informations sur commandes, les clients, les services financiers, les coordonn\u00e9es bancaires de vos clients et de vos fournisseurs, les informations personnelles\u00a0de vos\u00a0employ\u00e9s, les configurations de s\u00e9curit\u00e9 que vous avez mises en place… Toutes ces informations sont vitales pour votre activit\u00e9. Que se passerait-il si vous les perdiez ou si elles arrivaient entre les mains de votre concurrent?<\/p>\n
Commen\u00e7ons donc par le d\u00e9but. Nous devons assurer une bonne protection des donn\u00e9es. Ce n’est pas seulement parce que la GDPR l’exige et que nous devons nous aligner sur les exigences de\u00a0l’UE. C’est simplement un pr\u00e9-requis indispensable\u00a0\u00e0\u00a0la bonne gestion d’une Entreprise. Tout bon r\u00e9gime\u00a0de protection des donn\u00e9es commence\u00a0par une strat\u00e9gie. Celle-ci\u00a0pr\u00e9cise les obligations de l’Entreprise vis \u00e0 vis\u00a0des donn\u00e9es et les r\u00e9sultats escompt\u00e9s. La strat\u00e9gie d\u00e9finit \u00e9galement\u00a0les moyens \u00e0 mettre en oeuvre\u00a0pour\u00a0prot\u00e9ger ces informations.<\/p>\n
Comment nous y prendre?<\/h2>\n
Les Entreprises ont deux sources d’inspiration\u00a0pour baliser\u00a0leur chemin.<\/p>\n
Le premier est la\u00a0GDPR elle-m\u00eame parce qu’elle \u00e9nonce les obligations que les entreprises doivent appliquer \u00e0 leur syst\u00e8me d’information. Le second est l’utilisation de r\u00e9f\u00e9rentiels tels que COBIT 5 ou de normes telles que ISO 27001. COBIT 5 et ISO 27001 nous\u00a0fournissent le cadre sur la base duquel \u00e9valuer comment vous allez atteindre ces r\u00e9sultats et les b\u00e9n\u00e9fices\u00a0attendus. En combinant liste compl\u00e8te\u00a0des exigences de la\u00a0GDPR et l’utilisation de\u00a0COBIT 5, les entreprises seront donc en mesure de\u00a0r\u00e9pondre aux exigences de conformit\u00e9 de GDPR de fa\u00e7on transparente.<\/p>\n
Les principales exigences de la\u00a0GDPR<\/h2>\n
Avant d’aborder comment nous y prendre, examinons un peu plus en d\u00e9tail les exigences de la r\u00e9glementation<\/p>\n
1. M\u00eame si\u00a0votre entreprise n’est pas dans l’UE,\u00a0la r\u00e9glementation s’applique<\/h3>\n
Les organisations non situ\u00e9es dans un \u00e9tat europ\u00e9en mais\u00a0qui font des affaires avec\u00a0l’UE et utilisent\u00a0les donn\u00e9es personnelles des ressortissants\u00a0de l’UE doivent se pr\u00e9parer \u00e0 se conformer \u00e0 la r\u00e9glementation. Ceux qui fournissent des produits ou des services \u00e0 des\u00a0clients dans\u00a0l’UE ou qui traitent ou manipulent leurs donn\u00e9es peuvent avoir \u00e0 faire face \u00e0 des poursuites de l’UE si un incident de s\u00e9curit\u00e9 est signal\u00e9.<\/p>\n
C’est notamment le cas de toute banque Africaine qui re\u00e7oit de l’argent depuis un compte situ\u00e9 en Europe. C’est la m\u00eame chose si elle effectue un transfert vers un compte bancaire Europ\u00e9en. Cette banque Africaine aura alors en sa possession les donn\u00e9es bancaires du citoyen ou de l’Entreprise europ\u00e9enne avec laquelle s’effectue la transaction. Ces informations doivent donc \u00eatre prot\u00e9g\u00e9es en respectant les exigences de la\u00a0GDPR. Toute transaction commerciale impliquant une organisation Africaine et un Organisation Europ\u00e9enne est donc concern\u00e9e.<\/p>\n
2. La d\u00e9finition des donn\u00e9es personnelles est \u00e9largie<\/h3>\n
La confidentialit\u00e9 des donn\u00e9es concerne\u00a0d\u00e9sormais d’autres facteurs susceptibles\u00a0d’\u00eatre utilis\u00e9s pour identifier un individu. Il s’agit par exemple de\u00a0son identit\u00e9 g\u00e9n\u00e9tique, psychique, \u00e9conomique, culturelle ou sociale. Les entreprises sont incit\u00e9es \u00e0\u00a0prendre des mesures afin de\u00a0r\u00e9duire la quantit\u00e9 d’informations personnelles qu’ils stockent, et \u00e0 veiller \u00e0 ce qu’elles\u00a0ne stockent pas les informations plus longtemps que strictement n\u00e9cessaire.<\/p>\n
3. Un consentement est requis pour traiter les donn\u00e9es relatives aux enfants<\/h3>\n
Le consentement des parents sera n\u00e9cessaire pour le traitement des donn\u00e9es personnelles des enfants de moins de 16 ans. Chaque\u00a0\u00c9tat membre de l’UE peut abaisser \u00e0 13 ans l’\u00e2ge n\u00e9cessitant\u00a0le consentement parental. Bien entendu des traces doivent permettre la v\u00e9rification au travers d’audits.<\/p>\n
4. Les modifications apport\u00e9es aux r\u00e8gles d’obtention du consentement valide<\/h3>\n
Un\u00a0document de consentement au traitement des donn\u00e9es personnelles doit\u00a0\u00eatre exprim\u00e9\u00a0en termes simples et non ambigus. Le consentement ne se pr\u00e9sume pas. Le silence ou l’absence de r\u00e9ponse\u00a0ne constitue pas un consentement. Un consentement clair et positif au\u00a0traitement des donn\u00e9es priv\u00e9es doit \u00eatre fourni, de fa\u00e7on formelle et auditable.<\/p>\n
\nImaginons que\u00a0vous\u00a0utilisez le mailing internet pour contacter vos clients. Chacun d’eux doit avoir fourni un consentement clair et positif \u00e0 \u00eatre pr\u00e9sent dans votre liste d’adresses. Cela signifie que citoyen d’un \u00e9tat Europ\u00e9en qui recevrait un email provenant d’une soci\u00e9t\u00e9, en Afrique par exemple, et qui n’aurait pas donn\u00e9 explicitement son consentement pour \u00eatre contact\u00e9 par mail serait en droit de poursuivre ladite Soci\u00e9t\u00e9, laquelle serait du coup passible d’une lourde amende pour non respect de la GDPR.<\/em><\/p>\n<\/blockquote>\n
5. La nomination d’un Directeur\u00a0de la Protection des Donn\u00e9es (DPO) est\u00a0obligatoire pour certaines entreprises<\/h3>\n
L’article 35 de la GDPR stipule que des Directeurs\u00a0de la Protection des Donn\u00e9es<\/strong><\/em> (DPO – Data Protection Officer) doivent \u00eatre nomm\u00e9s dans\u00a0toutes les administrations. En outre, un DPO sera n\u00e9cessaire lorsque les activit\u00e9s de base\u00a0de l’Organisation\u00a0impliquent \u00ab\u00a0un suivi r\u00e9gulier et syst\u00e9matique de grandes quantit\u00e9s de donn\u00e9es personnelles\u00a0\u00bb ou lorsque l’entit\u00e9 effectue le traitement \u00e0 grande \u00e9chelle de \u00ab\u00a0cat\u00e9gories particuli\u00e8res de donn\u00e9es \u00e0 caract\u00e8re personnel\u00a0\u00bb. Cela fait donc r\u00e9f\u00e9rence aux soci\u00e9t\u00e9s de service informatique qui op\u00e8rent le syst\u00e8me d’information de leurs clients.<\/p>\n
Les entreprises dont l’activit\u00e9 principale n’est pas le\u00a0traitement de donn\u00e9es sont exempt\u00e9es de cette obligation.<\/p>\n
La GDPR ne pr\u00e9cise pas les dipl\u00f4mes et certifications professionnelles requis\u00a0pour les Directeurs de\u00a0\u00a0la\u00a0Protection des Donn\u00e9es, mais stipulent n\u00e9anmoins qu’ils doivent avoir\u00a0\u00a0\u00abune connaissance approfondie du droit et des pratiques de protection des donn\u00e9es.\u00a0\u00bb<\/p>\n
6. Evaluations obligatoires d’impacts des risques sur la protection des donn\u00e9es<\/h3>\n
Une approche bas\u00e9e\u00a0sur les risques doit \u00eatre adopt\u00e9e avant d’entreprendre des activit\u00e9s de traitement de donn\u00e9es sensibles. Des r\u00f4les de\u00a0v\u00e9rificateurs\u00a0de donn\u00e9es<\/em><\/strong> seront n\u00e9cessaires pour effectuer des \u00e9valuations d’impact, analyser et minimiser ces\u00a0risques pour les personnes concern\u00e9es d\u00e8s\u00a0lors que des risques de violation de la vie priv\u00e9e sont \u00e9lev\u00e9s.<\/p>\n
\nCe sera notamment le cas lorsqu’une Entreprise Europ\u00e9enne entrera en relation d’affaires avec une Entreprise d’un pays dont la l\u00e9gislation est plus tol\u00e9rante.<\/em><\/p>\n<\/blockquote>\n
7. Exigences nouvelles\u00a0en mati\u00e8re de notification de\u00a0violations des donn\u00e9es<\/h3>\n
Les v\u00e9rificateurs\u00a0de donn\u00e9es seront tenus de signaler les violations de confidentialit\u00e9 constat\u00e9es \u00e0 leur autorit\u00e9 de protection des donn\u00e9es, \u00e0 moins que celles-ci ne repr\u00e9sentent qu’un risque faible pour les droits et libert\u00e9s des personnes concern\u00e9es. L’information\u00a0doit \u00eatre transmise\u00a0dans les 72 heures suivant la constatation de la violation de confidentialit\u00e9 par les v\u00e9rificateurs. Des d\u00e9rogations pourront exister en cas\u00a0de circonstances exceptionnelles, qui devront \u00eatre justifi\u00e9es.<\/p>\n
Lorsque le risque pour les individus est \u00e9lev\u00e9, les personnes concern\u00e9es doivent \u00eatre inform\u00e9es. Toutefois, aucun\u00a0d\u00e9lai n’est\u00a0sp\u00e9cifi\u00e9 par la r\u00e8glementation.<\/p>\n
Des audits\u00a0r\u00e9guliers de la cha\u00eene d’information\u00a0et des v\u00e9rifications seront requis\u00a0pour assurer que le\u00a0nouveau r\u00e9gime de s\u00e9curit\u00e9 est bien adapt\u00e9 \u00e0 l’usage.<\/p>\n
8. Le droit \u00e0 l’oubli<\/h3>\n
Tout individu a\u00a0le \u00ab\u00a0droit \u00e0 l’oubli\u00a0\u00bb. La GDPR\u00a0pr\u00e9voit des lignes directrices claires sur les circonstances dans lesquelles le droit peut \u00eatre exerc\u00e9.<\/p>\n
\n\n\n\n\n9. Le transfert international de donn\u00e9es<\/span><\/span><\/h3>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n
\u00c9tant donn\u00e9 que la r\u00e8glementation est \u00e9galement applicable aux Entreprises\u00a0qui utilisent et transforment les donn\u00e9es, les organisations doivent \u00eatre conscientes du risque de transfert de donn\u00e9es vers des pays ne faisant\u00a0pas partie de l’UE.<\/p>\n
10. Responsabilit\u00e9s en mati\u00e8re de traitement de donn\u00e9es<\/h3>\n
Les Entreprise exploitant\u00a0des donn\u00e9es auront des obligations et des responsabilit\u00e9s juridiques directes. Cela signifie que les exploitants\u00a0peuvent \u00eatre tenus responsables des violations de donn\u00e9es. Les arrangements contractuels devront donc \u00eatre mis \u00e0 jour en pr\u00e9cisant les responsabilit\u00e9s et les obligations de chacune des parties. Il s’agit l\u00e0 d’une exigence imp\u00e9rative dans les futurs accords.<\/p>\n
\nLes Parties devront documenter leurs responsabilit\u00e9s sur les\u00a0donn\u00e9es encore plus clairement, et les niveaux de risque accrus peuvent clairement influer sur le co\u00fbt des services.<\/em><\/p>\n<\/blockquote>\n
11. La portabilit\u00e9 des donn\u00e9es<\/h3>\n
La portabilit\u00e9 des donn\u00e9es permettra \u00e0 un utilisateur de demander une copie de ses\u00a0donn\u00e9es personnelles dans un format utilisable et par voie \u00e9lectronique transmissible \u00e0 un autre syst\u00e8me de traitement.<\/p>\n
12. Protection par la conception<\/h3>\n
La GDPR exige\u00a0que les syst\u00e8mes et les processus prennent\u00a0en compte le respect des principes de protection des donn\u00e9es. L’essence de la protection par la conception\u00a0est que la vie priv\u00e9e dans un service ou un produit est pris en compte non seulement au moment de la livraison, mais aussi d\u00e8s l’origines\u00a0de la cr\u00e9ation du concept de produit.<\/p>\n
Il y a aussi une exigence que les v\u00e9rificateurs\u00a0ne doivent recueillir que les donn\u00e9es strictement n\u00e9cessaires \u00e0 la r\u00e9alisation de leurs objectifs sp\u00e9cifiques et les\u00a0d\u00e9truire\u00a0\u00a0d\u00e8s qu’elle ne sont\u00a0plus n\u00e9cessaires.<\/p>\n
13. Un guichet unique<\/h3>\n
Un nouveau guichet unique Europ\u00e9en est cr\u00e9\u00e9 pour les entreprises. Cela signifie que les entreprises ne devront faire face \u00e0 une autorit\u00e9 de surveillance unique pour l’ensemble de l’Europe et non pas au sein de chaque \u00e9tat. Ceci rend plus simple et moins co\u00fbteux pour les entreprises de faire des affaires dans l’UE. Cela aura \u00e9galement un impact positif pour\u00a0les fournisseurs de services Internet ayant\u00a0des bureaux dans plusieurs pays de l’UE.<\/p>\n
Et pour se mettre en conformit\u00e9, comment fait-on?<\/h2>\n
Dans notre prochain article, nous verrons comment nous appuyer sur COBIT 5 et ISO 27001 pour impl\u00e9menter l’ensemble des mesures n\u00e9cessaires \u00e0 la conformit\u00e9 requise par la GDPR.<\/p>\n
Vous avez des questions sur le contenu de la r\u00e9glementation, son interpr\u00e9tation ou ses cons\u00e9quences pratiques? N’h\u00e9sitez pas \u00e0 nous poster un commentaire et un de nos experts en protection des donn\u00e9es personnelles vous r\u00e9pondra.<\/p>\n
Partager\u00a0:<\/h3>