RGPD UE

Règlement européen général sur la protection des données

Date d'application : 25 mai 2018 - date à partir de laquelle les organisations non conformes seront exposées à de lourdes amendes.

Règlement européen général sur la protection des données (RGPD UE)

Un petit élément du RGPD, mais qui est important : Maintenir la conformité grâce aux clés chiffrées Kingston

Gérer les menaces et réduire les risques

Les options disponibles couvrent tous les besoins personnels, des entreprises et de l'administration publique.

  • Stockage des données chiffrées sur USB 100% conforme
  • Simple, facile à utiliser, sans nécessité d'un logiciel ou de pilotes
  • Conçu pour assurer des déploiements rapides et efficaces
EUGDPR Compliance Logos
Keep Compliant with Kingston

RGPD UE : Cinq domaines principaux à connaître

  1. Chiffrement - Normes de sécurité des traitements des données (Article 32, Sécurité des traitements)
  2. Nommer des responsables de la protection des données (RPD)
  3. Mettre en place un programme de cybersécurité
  4. Responsabilité documentée
  5. Comprendre le consentement

Que dois-je savoir ?

Quelles conséquences pour mon entreprise ?

  • Toute entreprise qui utilise des informations liées à des résidents de l'UE doit se conformer au RGPD.
  • Il est important de noter que ces règles s'appliquent aux contrôleurs et aux services de traitement. Cela signifie que les clouds, ou services hors ligne, ne sont pas exemptés de l'application du RGPD.
  • Le RGPD doit aussi être appliqué par toutes les organisations basées ou non dans un pays de l'UE lorsque les données traitées proviennent de résidents d'un pays de l'UE.
  • Ce règlement exige que les organisations qui conservent ou traitent des informations personnelles identifiables mettent en place des mesures de sécurité appropriées pour éviter les pertes de données personnelles.

Que doit faire mon entreprise pour être conforme ?

  • Auto-évaluer - Un responsable de la protection des données doit être nommé dans toutes les entreprises employant 250 personnes ou plus. Les organisations doivent réaliser des évaluations internes portant sur la gestion des informations personnelles identifiables de ses employés et clients.
  • Faire l'inventaire des produits/ dispositifs internes et externes utilisés pour conserver des données - Les équipements utilisés et couverts par votre politique de sécurité des données doivent être enregistrés et le chiffrement des données appliqué. Ces équipements incluent, par exemple et sans limitation : serveurs, disques durs, disques à semi-conducteurs, clés USB, ordinateurs, dispositifs mobiles.
  • Analyse d'inventaire - Évaluer la quantité globale des données personnelles
  • Purger - Éliminer les archives contenant des informations personnelles identifiables (IPI) ne présentant pas d'utilité.
  • Contrôleurs des informations - Réviser les évaluations d'impact et de risques pour la confidentialité des données
  • Contrats - Protéger votre entreprise en mettant maintenant en place des politiques qui deviendront obligatoires à partir de mai 2018.
  • Violation des données - Le règlement exige un préavis de 72 heures.

Solution - Mettre en œuvre des protections appropriées, des normes techniques, et des politiques, telles que : chiffrement des données personnelles/ informations personnelles identifiables (IPI) pour limiter les risques de non-conformité (En savoir plus – Meilleures pratiques pour les normes USB chiffrées)

Chiffrement des données

  • Les clés USB chiffrées Kingston ou IronKey font partie des solutions de standardisation pour se mettre en conformité avec le chiffrement des données.
  • Mettre en œuvre « des moyens techniques et organisationnels pour maintenir un niveau de sécurité appropriés par rapport au risque, incluant… le chiffrement des données personnelles » (Article 32, Sécurité des traitements)
  • La proposition exige que les organisations chiffrent les données sensibles, qu'elles soient stockées ou transférées.
  • Elle exige que les organisations qui conservent ou traitent des informations personnelles identifiables appartenant à des résidents de l'UE mettent en place des mesures de sécurité appropriées pour éviter les pertes de données personnelles.
  • Les organisations devront intégrer les normes améliorées de traitement des données dans leurs contrats avec tous les fournisseurs de services tiers concernés.

Portée territoriale élargie (applicabilité extraterritoriale)

Probablement le changement le plus important dans le paysage des réglementations applicables à la protection des données.

  • La juridiction étendue de la RGPD s'applique à toutes les entreprises qui traitent des données personnelles appartenant à des résidents de l'UE, quel que soit le pays d'implantation de ces entreprises.

Notification de violation

Dans la mesure du possible, les notifications de violation des données doivent être présentées dans un délai de 72 heures après leur découverte. De telles notifications n'ont pas besoin d'être présentées au responsable de la protection des données lorsqu'elles n'impliquent probablement pas de risque pour les droits ou les libertés individuelles.

Nouveaux droits des consommateurs

Avantages pour les consommateurs

Consumer Benefits

  • Autres protections de la RGPD et options d'anonymat
  • Permettre aux consommateurs d'exercer leurs droits lorsqu'ils ne souhaitent pas partager des données.
  • Nouvelles améliorations des droits des consommateurs, incluant le droit à l'oubli, ou de portabilité des données, qui leur permet d'exiger que les entreprises arrêtent d'utiliser leurs données.
  • Les entreprises qui ne sont pas en conformité avec les droits des consommateurs s'exposent à des plaintes déposées par des consommateurs, par des entités légales et à des poursuites devant les tribunaux.

Consentement

Les conditions de consentement ont été renforcées. Les entreprises ne pourront plus utiliser des conditions générales illisibles et longues, encombrées de jargon juridique, puisque la demande de consentement doit être présentée dans un formulaire intelligible et aisément compréhensible, les objectifs du traitement des données devant être joints à ce formulaire de demande de consentement.

  • Le consentement doit être clair et facile à différencier des autres questions, présenté dans un formulaire intelligible et aisément compréhensible, dans un langage simple et évident. Le consentement doit être aussi facile à donner qu'à annuler.

Droit à l'oubli

Aussi appelé droit à la suppression des données, le droit à l'oubli permet à leur propriétaire de demander au contrôleur concerné de supprimer des données personnelles, de cesser toute utilisation ou diffusion de ses données, et d'exiger que des entités tierces cessent de les traiter. Les conditions de suppression telles qu'énoncées dans l'article 17 incluent les données qui n'ont plus de pertinence pour les objectifs initiaux, ou lorsque le propriétaire de données personnelles a annulé son consentement.

Nous devons préciser que ce droit impose aux contrôleurs de comparer les droits du propriétaire des données par rapport à l'intérêt public de la disponibilité des mêmes données, lorsqu'ils examinent de telles demandes.

Que sont les données personnelles identifiables (IPI) ?

Les informations personnelles identifiables (IPI) sont des données concernant des résidents des pays de l'UE qui, si elles étaient communiquées, présentent des risques et peuvent engendrer des dommages. Les IPI peuvent être ou inclure des dossiers médicaux, des données biométriques, des numéros de passeport, des informations personnelles financières identifiables (IPFI) telles que numéros de sécurité sociale, cartes de crédit. Les informations qui ne sont pas considérées comme des IPI, telles que les noms et prénoms, peuvent devenir des IPI si elles se combinées avec d'autres données.

  • Les ressources de données des entreprises devraient être intégrées aux évaluations des risques, incluant les méthodes de stockage et d'accès, les niveaux de risques existants et si elles contiennent des IPI. Les ressources de données peuvent être stockées dans des bases de données d'application, des systèmes de fichiers sur serveurs et des équipements individuels.
What is Personal Identifiable Information (PII)?

Segments sélectionnés

  • Un ensemble cohérent et unique de règles applicables à toute l'UE – On estime que le règlement européen unique pour la protection de données représente 2,3 milliards d'Euros d'économies annuelles.
  • Un responsable de la protection des données sera désigné par les autorités publiques, et par des entreprises qui traitent des données à grande échelle.
  • Point de contact unique : les entreprises ont uniquement besoin de contacter une seule autorité de supervision (dans le pays de l'UE où elles ont implanté leurs activités principales)
  • Règlement de l'UE pour les entreprises non-membres de l'UE : les entreprises basées à l'extérieur de l'UE doivent appliquer le même règlement pour offrir des services ou des produits, ou pour contrôler les comportements des personnes dans l'UE.
  • Règlement favorable à l'innovation : une garantie que les protections des données sont intégrées dans les produits et les services dès les premières étapes de leur développement (protection des données par conception ou par défaut)
  • Des techniques de protection de la confidentialité, telle que la pseudonymisation (qui permet de remplacer le contenu de champs d'identification par des caractères sans signification) et le chiffrement (qui permet de coder des données pour qu'elles ne puissent être lues que par des parties autorisées)
  • Évaluation d'impact : les entreprises doivent réaliser des études d'impact lorsque le traitement des données peut exposer les droits et les libertés des personnes à des risques élevés
  • Conservation des informations : les PME ne sont pas dans l'obligation de conserver la documentation de leurs traitements de données, sauf lorsque ces opérations sont périodiques ou peuvent exposer à des risques les droits et les libertés des personnes propriétaires des données traitées

Voir plus

Règlement européen général sur la protection des données (RGPD UE)

  • 31 janvier 2018 PCI-DSS v3.2 – Obligation d'authentification multifacteur (8.3.1) - Applicable aux organisations globales
  • 30 juin 2018 PCI-DSS v3.2 – Obligation de mise à niveau au chiffrement SSL (2.2.3, 2.3, 4.1) - Applicable aux organisations globales
  • Avril 2018 PSD2 – Directive 2 sur les services de paiement - Applicable aux entreprises européennes
  • Mai 2018 GDPR – Règlement européen général sur la protection des données (RGPD UE) - Applicable aux organisations globales