EU-GDPR 25 May 2018

Aperçu du règlement général sur la protection des données (RGPD)

La Commission européenne a présenté son EU Data Protection Reform in January 2012 faire en sorte que l'Europe soit prête à l'ère numérique. Plus de 90% des Européens déclarent vouloir les mêmes droits de protection des données dans toute l'UE - et quel que soit l'endroit où leurs données sont traitées.

Le règlement est une étape essentielle pour renforcer les droits fondamentaux des citoyens à l’ère du numérique et faciliter les affaires en simplifiant les règles applicables aux entreprises dans le marché unique numérique. Une loi unique supprimera également la fragmentation actuelle et les charges administratives coûteuses, ce qui entraînera des économies pour les entreprises d'environ 2,3 milliards d'euros par an. La directive relative au secteur de la police et de la justice pénale protège le droit fondamental des citoyens à la protection des données chaque fois que des données à caractère personnel sont utilisées par les autorités répressives. Il veillera en particulier à ce que les données à caractère personnel des victimes, des témoins et des suspects de délits soient dûment protégés et facilitera la coopération transfrontalière dans la lutte contre la criminalité et le terrorisme.

Le 15 décembre 2015, le Parlement européen, le Conseil et la Commission sont parvenus à un accord sur les nouvelles règles de protection des données, établissant un cadre de protection des données moderne et harmonisé dans toute l'UE. La commission des libertés civiles du Parlement européen et le comité des représentants permanents (Coreper) du Conseil ont ensuite approuvé les accords à de très fortes majorités. Les accords ont également été salués par le Conseil européen des 17 et 18 décembre comme une avancée majeure dans la mise en œuvre de la Digital Single Market Strategy.

Le 8 avril 2016, le Conseil a adopté le règlement et la directive. Et le 14 avril 2016, le règlement et la directive ont été adoptés par le Parlement européen.

Le 4 mai 2016, les textes officiels du règlement et de la directive ont été publiés au Journal officiel de l'UE dans toutes les langues officielles. Tandis que le Régulation entrera en vigueur le 24 mai 2016, il s'appliquera à partir du 25 mai 2018Le Directif entre en vigueur le 5 mai 2016 et les États membres de l'UE doivent la transposer dans leur droit national en 6 mai 2018.

Regulation (EU) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et sur la libre circulation de ces données, et abrogeant la directive 95/46 / CE (règlement général sur la protection des données)

Directive (EU) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes aux fins de la prévention, de l'enquête, de la détection ou de la poursuite d'infractions pénales ou de l'exécution de sanctions pénales , et sur la libre circulation de ces données, et abrogeant la décision-cadre 2008/977 / JAI du Conseil

Accord sur la réforme de la protection des données de l'UE de la Commission

Factsheets

Commission Proposals on the data protection reform: legislative texts

Current legal framework

Public opinion surveys

Source info: https://ec.europa.eu/justice/data-protection/reform/index_en.htm

Cybersécurité et RGPD

Le paysage de la cybersécurité évolue rapidement grâce à notre mode de vie de plus en plus numérique, à la prolifération des appareils connectés et à l’évolution de la manière dont l’information circule à travers une organisation. À mesure que les données deviennent plus accessibles aux utilisateurs professionnels, par exemple, cela facilite grandement l’accès des cybercriminels et les abus. Avec la loi britannique sur la protection des données qui devient rapidement obsolète, le GDPR présente une nouvelle solution unifiée pour protéger les informations sensibles, cohérente dans toute la région et capable de mieux protéger l’information en cette ère de partage social, mobile et cloud

Naturellement, le nouveau règlement aura plusieurs implications pour les entreprises qui traitent les données appartenant aux citoyens de l’UE – quelle que soit leur position – et des préparatifs doivent être faits pour assurer le respect et l’évitement de sanctions de plus en plus strictes. Lorsqu’elle est appliquée, le GDPR stipule que les atteintes à la protection des données doivent être signalées aux autorités compétentes dans les 72 heures suivant la découverte si elles sont susceptibles de mettre en péril les droits et libertés des personnes touchées, et que les dossiers doivent être conservés de tous ces incidents.

En ce qui concerne les sanctions susmentionnées, les organisations non conformes sont désormais passibles d’amendes pouvant atteindre quatre pour cent de leur chiffre d’affaires mondial ou de 20 000 000 euros – selon la plus élevée, ce qui aura sans aucun doute un impact sérieux sur les résultats d’une entreprise. Pour les incidents moins graves, l’amende sera réduite à deux pour cent du chiffre d’affaires ou 10 millions d’euros.

Qu’est-ce qui doit être classé comme des données sensibles?

Une question clé à considérer est celle qui concerne la définition de « onsions sensible ». Au fur et à mesure que nous plaçons plus d’informations en ligne, il s’agit d’une définition en constante évolution et, à ce titre, le terme a été récemment élargi pour inclure des données génétiques et biométriques, ainsi que des identificateurs en ligne tels que les cookies, les étiquettes RFID et les adresses IP. Chaque fois qu’une organisation traite ces informations, elle doit d’abord procéder à un audit approfondi des mesures de protection relatives à ces données, y compris des garanties, des garanties et des mécanismes visant à réduire le risque d’exposition et à assurer le respect du RGDP.

Pour de nombreuses entreprises, il est difficile d’obtenir une bonne sécurité informatique. Nous avons été témoins de grandes violations dans des marques de haut niveau de VTech à TalkTalk à Target, ainsi que les retombées dommageables d’une perspective financière et de réputation. Le GDPR offre aux organisations l’occasion d’analyser sérieusement leurs mécanismes de sécurité existants en fonction d’un critère fixe qui non seulement renforcera leur position en matière de cybersécurité, mais aussi réduira le risque d’une violation très coûteuse. Pour beaucoup, ce processus d’adaptation sera difficile, long et coûteux, il serait donc judicieux de commencer à élaborer des stratégies de sécurité à l’épreuve de l’avenir, à planifier les changements et à investir dans une technologie appropriée le plus tôt possible.

Cryptez tout

Alors que les cybercriminels se donnent beaucoup de mal pour mettre la main sur des données sensibles ou lucratives, l'objectif ultime des organisations devrait être de protéger ces données à tout prix. Nous vivons à une époque où les violations de données sont presque inévitables, il est donc logique de défendre les données avec un cryptage afin qu'elles restent illisibles et pratiquement inutiles si et quand elles tombent entre de mauvaises mains. Un inventaire doit être réalisé qui tient compte de toutes les données qui sont produites, traitées et stockées afin que l'on puisse avoir un aperçu complet de la manière et du lieu de circulation des informations. Une stratégie par défaut de `` tout crypter '' sera essentielle pour garantir la conformité, et les progrès technologiques actuels signifient que le cryptage n'est plus un processus coûteux ni encombrant - en fait, il est maintenant plus rapide et plus facile que jamais de sécuriser les données avec le cryptage, il y a donc très peu d'excuse pour les organisations qui ne le font pas.

Cela dit, bien qu’il s’agisse d’un bon début, une protection efficace doit aller au-delà du chiffrement – en particulier lorsqu’on considère la menace de l’intérieur. Les contrôles d’accès constituent une couche de défense supplémentaire importante, garantissant que seuls les utilisateurs disposant du niveau d’autorisation approprié peuvent accéder à certains ensembles de données. Une fois qu’un utilisateur a accès à une clé de chiffrement, son utilisation est entièrement contrôlée et comptabilisée, en appliquant les règles sur les droits de données, empêchant le partage de l’accès avec un autre utilisateur ainsi que d’autres facteurs tels que l’heure de la journée.

Avec ces mesures de base en place, les organisations seront mieux placées pour fonctionner dans un monde post-GDPR. Cependant, les choses changent et il est important de ne pas devenir complaisant. Au lieu de cela, la sécurité des données devrait être considérée comme un travail constant en cours, avec des tests réguliers et l’évaluation de l’efficacité de ces outils intégrés dans la stratégie globale de protection des données.

En résumé, le GDPR est un pas dans la bonne direction et, nous l’espérons, apportera des changements indispensables aux organisations actuellement en retard sur les exigences essentielles en matière de sécurité – mais bien que l’échéance puisse sembler lointaine maintenant, elle va certainement nous retomber sur nous, avec des conséquences dévastatrices pour ceux qui n’ont pas pris garde.

X