Gartner : Les entreprises ne sont pas encore prêtes pour la réforme européenne sur la protection des données
Qui va entrer en vigueur en 2018

85PARTAGES

9  0 
Le but principal de la réforme dénommé GDPR (General Data Protection Regulation) ou RGPD en français (Règlement Général sur la Protection des Données) est de contraindre les entreprises à mettre en place des systèmes fiables permettant de garantir la sécurité de leur système d'information ainsi que leurs données. Cela devrait par conséquent permettre aux citoyens de contrôler leurs données personnelles.

L'ensemble des structures européennes ou internationales qui manipulent des données personnelles appartenant à des ressortissants de la communauté européenne sont invitées à mettre en application, avant le 25 mai 2018, les nouvelles règles édictées par le nouveau standard législatif européen en matière de protection des données personnelles en l'occurrence le RGPD. Il convient de noter que les règles nouvellement mises en place par le RGPD s'articulent autour de sept points que sont :

la nécessité pour chaque organisation de comprendre les enjeux de la réglementation et les traduire en feuille de route pour la DSI ;
la capacité à localiser l'ensemble des données à caractère personnel au sein de l'entreprise ;
procéder à une analyse d'impact relative à la protection des données ;
procéder à une classification des données à caractère personnel via une cartographie des risques - applications et données ;
être en mesure de parcourir les données à tout moment pour déceler toute activité suspecte ou d'éventuelles anomalies
la capacité pour chaque organisation à tenir un registre des activités relatives aux traitements effectués sur les données ;
la coopération avec l’autorité de contrôle : garantir une traçabilité des opérations faites sur les données à caractère personnel.

Le règlement européen sur la protection générale des données (RGPD) aura un impact global lorsqu'il entrera en vigueur le 25 mai 2018, selon Gartner : le cabinet prévoit qu'à la fin de 2018, plus de 50 % des entreprises concernées par le RGPD ne seront pas pleinement conformes à ses exigences.

« Le RGPD affectera non seulement les organisations basées en UE, mais aussi plusieurs contrôleurs de données et processeurs en dehors de l'UE », a déclaré Bart Willemsen, directeur de recherche chez Gartner. « Les menaces d'amendes lourdes, ainsi que la position de plus en plus importante des personnes concernées, inclinent les arguments commerciaux pour la conformité et devraient inciter les décideurs à réévaluer les mesures pour traiter en toute sécurité les données personnelles » .

Le RGPD remplace la directive sur la protection des données 95/46 / CE et est conçu pour soutenir le marché unique, harmoniser les lois sur la confidentialité des données en Europe, protéger et responsabiliser la confidentialité des données des citoyens de l'Union européenne (UE) et réorganiser la manière dont les organisations abordent la confidentialité des données pour les citoyens de l'UE partout où ils travaillent dans le monde.

Gartner recommande aux entreprises d'agir maintenant pour s'assurer qu'elles sont conformes lorsque le règlement entre en vigueur. Elles devraient se concentrer sur cinq changements prioritaires pour les aider à se mettre au courant des exigences RGPD :
  1. Déterminer leur rôle sous le RGPD : toute entreprise qui décide pour quoi et comment les données personnelles sont traitées est essentiellement un « contrôleur de données ». Le RGPD s'applique non seulement aux entreprises de l'Union européenne, mais aussi à toutes les entreprises extérieures à l'UE qui traitent des données personnelles pour l'offre de biens et services à l'UE ou surveillent le comportement des personnes concernées au sein de l'UE. Ces entreprises devraient nommer un représentant pour agir comme un point de contact pour l'autorité de protection des données (DPA) et les personnes concernées ;
  2. Nommer un responsable de la protection des données : de nombreuses entreprises sont tenues de nommer un agent de protection des données (DPO). Ceci est particulièrement important lorsque l'organisation est un organisme public, est une opération de traitement nécessitant un suivi régulier et systématique ou qui a des activités de traitement à grande échelle. La « grande échelle » ne signifie pas forcément des centaines de milliers de personnes concernées ;
  3. Démontrer la responsabilisation dans toutes les activités de traitement : très peu d'entreprises ont identifié chaque processus dans lequel les données personnelles sont impliquées. L'introduction, la limitation des objectifs, la qualité des données et la pertinence des données devraient être décidées lors du démarrage d'une nouvelle activité de traitement, car cela contribuera à maintenir la conformité dans les futures activités de traitement des données personnelles. Les organisations doivent démontrer une posture de terrain responsable et une transparence dans toutes les décisions relatives aux activités de traitement des données personnelles. Les parties extérieures doivent également se conformer aux exigences pertinentes qui peuvent avoir une incidence sur la gestion de l'offre, la gestion du changement et les processus d'approvisionnement. Il est important de noter que la responsabilité dans le cadre du RGPD nécessite l'acquisition et l'enregistrement d'un consentement approprié. Les boîtes prévérifiées et le consentement implicite seront largement dans le passé. Une action claire et expresse est nécessaire qui exigera que les organisations mettent en œuvre des techniques simplifiées pour obtenir et documenter le consentement et le retrait du consentement ;
  4. Vérifier les flux de données transfrontaliers : les transferts de données vers l'un des 28 États membres de l'UE sont toujours autorisés, ainsi qu'en Norvège, au Liechtenstein et en Islande. Les transferts à l'un des 11 autres pays sont également possibles pour la Commission européenne (CE). En dehors de ces zones, des garanties appropriées telles que les Règles d'entreprise obligatoires et les clauses contractuelles standard (c.-à-d., « Contrats modèles » de l'UE) devraient être utilisées. Les contrôleurs de données basés en UE devraient accorder une attention particulière aux nouveaux mécanismes dans le cadre du RGPD lors de la sélection ou de l'évaluation des processeurs de données en dehors de l'UE et s'assurer que des contrôles appropriés sont en place. En dehors de l'UE, les organisations qui traitent des données personnelles sur les résidents de l'UE devraient choisir le mécanisme approprié pour assurer la conformité avec le RGPD ;
  5. Se préparer au sujet de données qui exercent leurs droits : les titulaires de données ont des droits étendus dans le cadre du RGPD. Il s'agit notamment du droit d'être oublié, de la portabilité des données et d'être informé (par exemple, en cas de violation de données). Si une entreprise n'est pas encore prête à traiter adéquatement les incidents de violation de données et les sujets qui exercent leurs droits, il est maintenant temps de commencer à mettre en œuvre des contrôles supplémentaires.


Source : Gartner

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Doksuri
Membre émérite https://www.developpez.com
Le 16/04/2018 à 17:08
51% n'ont jamais entendu parle du RGPD
67% auront de toute facon la fleme de securiser tout ca
6  0 
Avatar de JackIsJack
Membre actif https://www.developpez.com
Le 14/04/2018 à 12:31
Cette règlementation a fait l'objet d'une véritable paranoïa au sein de la société où je travaille.

En pratique, des scripts d'anonymisation ont été développés afin de randomizer certaines données "personnelles" dans les environnements de recette ; en gros : un 'update' sur certains champs de certaines tables.

J'ai dû un peu me battre pour que le projet RGPD ne supprime pas TOUTES les données des environnements de recette... ce qui était une solution plutôt confortables pour eux (éviter de devoir faire le tri entre les données perso ou pas) ; mais avec """certains""" impacts sur nos méthodes de recette !

Pour les environnements de production, des méthodes d'archivages des données ont été réalisés : lorsque la donnée n'est plus utile pour 'les traitements définis', alors elle n'est plus visible dans l'application. En gros, on ajoute un champ sur certaines tables [archivé ou pas], et de la visibilité en fonction de ça dans l'application.

Tout ça créé un bel ensemble théorique, mais qui n'est utile en rien.

Jamais nous ne recevrons de demande d'un utilisateur de supprimer ses données personnels (car ils ne savent pas que nous en disposons ; dans mon cas, il s'agit des données personnelles (leur TJM) de prestataires externes qui interviennent ponctuellement dans la boîte), et ils ne pourront jamais savoir si nous les avons finalement supprimé ou pas. Et quand bien même il s'en plaindrait auprès de la CNIL, les dommages sont tellement faibles que la CNIL ignorerait sa demande. (j'ai pour ma part déposer une plainte auprès de la CNIL pour une société qui retient mon RIB de façon abusive - ils m'ont clairement envoyé boulé avec un e-mail standard 'trop de demande, blabla').

La RGPD aurait dû se focaliser sur les seuls cas intéressants, à savoir :
- Les entreprises qui gèrent des données personnelles très sensible (uniquement santé, politique, justice) et lorsque ça concerne au moins 5000 utilisateurs.
Au moins, on aurait évité ces efforts ridicules.
4  0 
Avatar de Jipété
Expert éminent sénior https://www.developpez.com
Le 04/05/2017 à 9:19
Citation Envoyé par Stéphane le calme Voir le message
Le but principal de la réforme [...] est de contraindre les entreprises à mettre en place des systèmes fiables permettant de garantir la sécurité de leur système d'information ainsi que leurs données.


Citation Envoyé par Stéphane le calme Voir le message
Cela devrait par conséquent permettre aux citoyens de contrôler leurs données personnelles.
Quel rapport avec ce qui précède, indépendamment du fait que ce qui précède me fait mourir de rire ?
3  0 
Avatar de koyosama
Membre éprouvé https://www.developpez.com
Le 16/04/2018 à 17:42
Moi j'en parlais avant et les gens se foutaient de ma gueule. Mais de toute façon je suis sûre que tout le monde s'en branle. Ceux qui ont du code legacy, toutes les entreprises étrangère de taille moyenne ou petit s'en branle complètement.
Puisque j'ai la chance de refaire le stack de mon entreprise, je vais faire ma job.

De toute facçon, comme dans un restaurant, il vaut mieux pas savoir s'il y a derrière. Ceux qui vont se faire attrapper par les associations vont prendre cher.
2  0 
Avatar de ArchiTech
Nouveau membre du Club https://www.developpez.com
Le 22/06/2018 à 9:18
Bonjour,
Puisqu'un règlement fait office de loi immédiate, pour tous les pays européen (contrairement à une directive nécessitant une adaptation à la loi de chaque pays), il n'y a donc pas d'adaptation au droit français nécessaire ou même possible. Les seuls éléments possibles sont : de renforcer (mais en aucun cas amoindrir) certains articles dans la loi nationale, et indiquer les institutions faisant office d'autorité de contrôle (CNIL en France).
Un règlement est "obligatoire dans tous ses éléments dès son entrée en vigueur [...]. Il ne peut donc s'appliquer de manière incomplète ou sélective.", par conséquent le RGPD est applicable depuis le 25 mai 2018, sans besoin de validation ou adaptation pas les états.
https://fr.wikipedia.org/wiki/R%C3%A...urop%C3%A9enne
Le texte dont il est question (que je n'ai pas encore lu en détail) semble être une adaptation de la loi informatique et libertés (loi nationale) au RGPD, et non l'inverse comme le laisse supposer l'article. Cette loi nationale ne pouvant se substituer au RGPD, mais seulement le compléter. Certains articles de l'ancienne loi informatique et libertés sont donc abrogés, d'autres modifiés ou créés, afin de mettre en conformité loi nationale avec le RGPD.
Remarque : l'expression "loi RGPD" est redondante (un règlement faisant office de loi)
1  0 
Avatar de plucas29
Futur Membre du Club https://www.developpez.com
Le 22/06/2018 à 11:13
Bonjour,

Le règlement est en effet d'application immédiate mais laisse aux états une marge sur certains points comme par exemple la licéité du traitement (art. 6-2) ou l'âge de la "majorité numérique" (art 8-1). Voir aussi cette analyse d'un cabinet juridique sur la question.
Bonne journée à tous,
1  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 04/05/2017 à 20:04
Le G29 a publié un guideline :

http://ec.europa.eu/newsroom/just/it...?item_id=50083
Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, wp248: http://ec.europa.eu/newsroom/documen...m?doc_id=44137
0  0 
Avatar de 4sStylZ
Membre éclairé https://www.developpez.com
Le 16/04/2018 à 16:42
Dans notre cas c’est pas qu’on pense que la non-conformité vas nous nuire. Pour être conforme avec la RGPD nous avons dû faire une croix sur du business dans certains pays.
Nous avons une société trop petite pour pouvoir déployer notre architecture là ou il le faudrait et comme il le faudrait.
On se bat pour y arriver mais cela nous ralentie.
0  0 
Avatar de Excellion
Membre averti https://www.developpez.com
Le 17/04/2018 à 4:40
Combien de boîtes enregistrent des données personnelles sans l'avoir déclaré à la CNIL et en s'en contrefichant, ne s'estimant pas concernées par un truc dont ils ne seront jamais contrôlés ?

La RGPD, un énième bricolage, mal ficelé, à destination des multinationales informatiques américaines, et qui ne sera dans la réalité jamais appliquée, parce que trop contraignant pour les PME.
0  0 
Avatar de
https://www.developpez.com
Le 14/06/2018 à 8:33
Bloctel ne m'a rien envoyer il me semble... Ni la CAF ou la CPAM ou DMP. ça devrait pas tarder... ()

Même la gendarmerie peut m'envoyer un courrier à l'adresse stipulé sur le permis de conduire vue que je n'ai pas de voiture à mon nom (pas de carte grise puisque je ne suis pas propriétaire d'une voiture).
Il y va de même des agences de locations d'immeubles et des télécoms.

HADOPI pourrait mais ne peut malheureusement pas.
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web