+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 856
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 856
    Points : 62 878
    Points
    62 878

    Par défaut GDPR : votre entreprise est-elle bien préparée au nouveau règlement européen sur la protection des données ?

    GDPR : votre entreprise est-elle bien préparée au nouveau règlement européen sur la protection des données ?
    Mise en lumière de quelques points clés

    Au fil des ans, le secteur numérique a entrepris diverses démarches pour contrôler le flux des données des consommateurs en vue de protéger leurs clients, mais aussi d’améliorer l'expérience utilisateur. Le résultat ? Les pays de l'Union européenne suivent des réglementations hétérogènes en matière de sécurité et de confidentialité des données.

    Une situation qui n’a pas ravi Bruxelles : « Afin d'assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l'Union, le niveau de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données devrait être équivalent dans tous les États membres », a estimé Bruxelles.

    Aussi, « Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union ».

    Définissant les bases, Bruxelles a estimé « qu’en ce qui concerne le traitement de données à caractère personnel nécessaire au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, il y a lieu d'autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l'application des règles du présent règlement. Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive 95/46/CE, il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises. »

    C’est ainsi qu’a été élaboré la General Data Protection Regulation (GDPR), le nouveau règlement européen décidé en décembre 2015 qui va s’appliquer dès 2018 à toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.


    En réalité, ce règlement se substitue à la directive datant de 1995 sur la protection des données, qui définissait déjà le cadre juridique général de la protection des données personnelles dans le domaine de l'informatique. Celui-ci prévoit, entre autres, le droit d'accès et de rectification aux données et le principe du consentement.

    Ce cadre juridique a permis à chaque membre de l'UE une transposition dans son droit national. Pour exemple, le modèle général de la Commission nationale informatique et des libertés (CNIL), établi en France, a servi à instituer une autorité de protection des données personnelles à l'échelle européenne, conformément à l'article 28 de la directive du GDPR.

    Pour Thiébaut Devergranne, « le texte du nouveau règlement européen va profondément changer la donne en matière de protection des données personnelles ». Dans un long billet explicatif, le docteur en loi a proposé une analyse des articles qui feront office de loi l’année prochaine en privilégiant « une approche pragmatique afin de comprendre comment se préparer à une mise en conformité au GDPR », prenant donc soin d’occulter « les aspects relatifs au droit des personnes qui ont moins besoin d’être préparés en raison de leur nature ».

    Il relève quelques statistiques, notamment :
    • 100 pages d’obligations à respecter ;
    • 99 articles de loi ;
    • 20 millions d’euros de sanction en cas d’infraction pour les PME ou les organismes publics ;
    • 4 % du CA Global du groupe pour les grandes entreprises (soit entre 3 et 5 milliards d’euros de risques de sanction pour des entreprises comme Google, Amazon, etc.).

    « Avec des montants aussi importants de sanctions – et autant d’intervenants qui ont intérêt à se lancer dans un contentieux –, cette réglementation va devenir un contre-pouvoir majeur dont nombre d’organisations vont faire les frais », a-t-il commenté.

    Comment se mettre en conformité avec le GDPR ?

    1. Minimiser les données personnelles collectées

    C'est un des changements les plus substantiels opérés par le règlement européen en pratique, qui tient au fait que celui-ci impose de ne collecter que les données strictement nécessaires. L'article 5 du règlement européen précise à ce titre que les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). » Ce principe a un impact pratique majeur quant aux données collectées que l'on va voir en prenant un exemple pratique.

    L'exemple d'une newsletter

    Afin d’illustrer ses propos, il a évoqué la mise en place d'une newsletter. Le règlement impose, dans un tel cas, de ne collecter que les données qui sont strictement nécessaires à cette newsletter. Quelles sont donc les données susceptibles de pouvoir être collectées à cet égard ? L’email.


    Clairement : ni le prénom, ni le nom, ni l’adresse, ni le fait que la personne soit un homme, ou une femme, ni les coordonnées physiques de la personne. Aucune de ces données ne serait en effet strictement nécessaire pour l'envoi de la newsletter (sauf justification particulière – évidemment si vous envoyez une lettre papier – auquel cas vous justifiez alors du besoin de collecter ces informations dans vos finalités).

    2. S’assurer du fondement juridique du traitement

    Un des éléments clés de la réforme a été de renforcer les droits de personnes au regard de leurs données, et notamment de s'assurer qu'elles donnent leur consentement à leur traitement. En fait c'était déjà le cas de la loi informatique et des libertés (article 7 : « Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée »), mais le législateur a encore plus insisté sur ce point.

    Citation Envoyé par Règlement
    Article 6 - 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
    a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
    b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
    c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
    d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
    e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
    f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
    Par principe, donc, une personne doit matériellement consentir à ce que ses données puissent être traitées pour être dans la légalité
    3. Éviter de traiter des données sensibles

    Le règlement s'inscrit ici encore dans la continuité de la loi informatique et des libertés et de la directive de 1995 qui ont adopté une démarche pragmatique centrée autour des risques relatifs au traitement de certaines données, dites sensibles. Celles-ci font l'objet de contraintes juridiques plus importantes que les autres en raison des risques qui leur sont associés.

    L'article 9 définit cette notion de données sensibles :
    Citation Envoyé par Règlement
    « Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits »

    4. Afficher les mentions légales

    Le règlement (comme la loi informatique et des libertés d'ailleurs) impose au responsable de traitement d'informer la personne dont les données sont traitées d'un certain nombre de mentions (les mentions légales). La mise en place de ces mentions est importante pour plusieurs raisons. La principale est qu'elle permet de cerner ouvertement le niveau de maturité informatique et libertés d'une organisation. Ainsi, lorsque l'on procède à un audit, ou lorsque la CNIL procède à un contrôle, l'absence de mentions légales est un indicateur qui permet de déterminer immédiatement l'existence de problèmes majeurs au sein de l'organisation.

    5. Respecter le droit à la probabilité des données

    Une nouveauté importante introduite par le règlement est le droit à la portabilité des données ! Celui-ci impose au responsable du traitement de mettre en place des moyens pour donner la possibilité à la personne dont les données sont traitées d'exporter ses données personnelles dans un format structuré (xml...).

    Ce droit est défini par l'article 20 du règlement (qui définit également certaines exceptions et limites) :
    Citation Envoyé par Règlement
    1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle (...)

    6. Mettre en place un registre de conformité

    Le règlement impose aux organisations de tracer l'ensemble des traitements de données personnelles mis en œuvre afin de s'assurer que ceux-ci soient en conformité avec la loi. Cette obligation est complexe, car elle est éparse dans le règlement et ressort de trois dispositions différentes.

    7. Assurez la sécurité des données personnelles

    De longue date, imposer la sécurité des données personnelles a été une préoccupation importante du législateur. Dès le départ, des obligations ont été imposées dans la loi informatique et des libertés V1 (1978) et V2 (2004), et le règlement européen ne procède, pour l'essentiel, qu'à des mises à jour de ce côté.


    8. Maintenez un registre des violations de données personnelles et des procédures de notification à la CNIL et à personne concernée

    Une innovation importante opérée par le règlement réside dans la nouvelle obligation de notification des violations de données personnelles à la CNIL. Sauf cas exceptionnels, le responsable du traitement doit notifier à la CNIL toute violation de données personnelles sous 72 heures :
    Citation Envoyé par Règlement
    33.1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance
    La notion de violation de données personnelles est (heureusement) définie à l'article 4 :
    Citation Envoyé par Règlement
    « violation de données à caractère personnel », une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données
    9. Nommez un DPO

    Pierre angulaire de la conformité, le règlement européen a conservé la fonction du DPO (data privacy officer) qui existait déjà dans la loi française (CNIL) autant que la directive européenne. Le responsable du traitement est tenu de désigner un DPO dans trois cas :
    Citation Envoyé par Règlement
    1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :
    a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;
    b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
    c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.
    10. Mettez en place une PIA pour les traitements sensibles

    La PIA est intéressante, car elle permet de mesurer la complexité à laquelle on est confronté lorsque l'on entre dans les détails du texte. Le règlement a prévu d'augmenter le niveau de protection du traitement de données personnelles dans les cas qui présentent le plus de risques pour les droits et libertés des personnes, ce qui, en soit, fait complètement sens. Dans ces termes, l'article 35 impose au responsable du traitement de réaliser une étude d'impact sur la vie privée (une PIA pour « Privacy Impact Assessment ») afin de s'assurer que l'ensemble des risques spécifiques à la vie privée ont bien été maîtrisés.

    Le règlement prévoit les dispositions suivantes :

    Citation Envoyé par règlement
    1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

    11. Assurez-vous de ne pas transférer des données personnelles hors de l'UE

    De la même manière que la réglementation ancienne, la mise en œuvre de traitements de données personnelles hors de l'UE est strictement encadrée par le règlement européen. En pratique, la loi va limiter la fourniture de services informatiques par des entreprises hors de l'UE, car elles vont devoir sérieusement se plier à la culture européenne de régulation si elles souhaitent pouvoir vendre à des clients européens.

    Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis.

    Source : Thiébaut Devergranne

    Et vous ?

    Que pensez-vous de ce nouveau règlement ?
    Constitue-t-il, selon vous, un rempart assez solide pour veiller à la protection des données européennes ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre à l'essai
    Femme Profil pro
    REA
    Inscrit en
    juin 2014
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : REA
    Secteur : Bâtiment Travaux Publics

    Informations forums :
    Inscription : juin 2014
    Messages : 16
    Points : 14
    Points
    14

    Par défaut Ce texte me paraît hautement dangereux en termes de droit d'expression

    "« Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits »"

    Si on soustrait la liste des cas, on se retrouve avec :
    " Le traitement des données à caractère personnel d'une personne physique sont interdits."
    L'interdiction englobe en plus les convictions philosophiques... ce qui est plutôt vague et très large à la fois.
    Il me semble que ce règlement européen va rendre illicites une majorité de forums, de réseaux sociaux et autres outils communautaires. Sans parler des commentaires qui peuvent être faits suite à des articles de journaux d'actualités en ligne...

    Franchement, je n'ai pas l'habitude d'utiliser ce terme, mais ce règlement paraît vraiment liberticide.

  3. #3
    Membre chevronné
    Homme Profil pro
    Inscrit en
    janvier 2014
    Messages
    352
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : janvier 2014
    Messages : 352
    Points : 1 890
    Points
    1 890

    Par défaut

    C'est bon pour l'emploi IT ça, pour faire appliquer un règlement aussi lourd il va falloir recruter une armée d'informaticiens, et pas n'importe qui, des informaticiens capable de documenter correctement leurs traitements ce qui est la perle rare

  4. #4
    Membre éprouvé Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    563
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 563
    Points : 1 267
    Points
    1 267

    Par défaut

    Cette loi est tout bonnement fantastique pour les libertés de l'utilisateur, j'approuve à 100% puisque ce n'est que l'esprit de la CNIL voulue par Simone Veil étendue à toute l'Europe. Google, Facebook & co n'ont qu'à bien se tenir. Fini de fouiller dans notre vie privée et d'abuser des possibilités qu'offrent le numérique pour violer nos consciences.
    Ouf on respire ! ( un peu ) Et je ne parle pas des compteurs connectés EDF et autres joyeusetés intrusives. Les sanctions vont bien jusqu'à 10% du chiffre d'affaires ?
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

Discussions similaires

  1. Savez-vous si votre entreprise est opérationnelle en toutes circonstances ?
    Par acpodae dans le forum Autres Solutions d'entreprise
    Réponses: 0
    Dernier message: 12/11/2010, 14h59
  2. [Carte graphique] la HD5870 est elle bien nécessaire
    Par zooffy dans le forum Composants
    Réponses: 6
    Dernier message: 29/10/2009, 09h21
  3. JavaDoc : cette classe est elle bien commentée ?
    Par jmnicolas dans le forum Langage
    Réponses: 4
    Dernier message: 04/09/2008, 11h36
  4. Réponses: 1
    Dernier message: 03/01/2008, 14h21
  5. InterpN est elle bien incomprehensible ?
    Par sayag dans le forum MATLAB
    Réponses: 1
    Dernier message: 29/06/2007, 08h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo