Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur l’officialisation du nouveau règlement de l’Union européenne concernant le traitement des données à caractère personnel.
Description :
Le Parlement européen, et le Conseil de l’Europe viennent de publier au sein du Journal officiel en date du 4 mai différents textes juridiques traitant de la protection des données à caractère personnel :
– le Règlement 2016/679,
– les Directives 2016/680 et 2016/681.
Le règlement détaille les règles d’utilisation des données personnelles dans le cas général. Le document aborde les sujets de la protection des personnes physiques vis-à-vis du traitement des données à caractère personnel, ainsi que la libre circulation de ces données.
Les deux directives abordent, elles, les cas spécifiques de l’utilisation de ces données par les autorités compétentes dans le cadre de la lutte contre la criminalité, à des fins de prévention et de détection des infractions pénales, ainsi que le sujet sensible de l’utilisation des données constituant les dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité.
Selon Yannick Hello, cette nouvelle législation peu connue pourrait changer la gestion et la protection des données au niveau européen. Dans une récente interview, il revient sur 5 points essentiels pour bien comprendre ce sujet :
– Qu’est-ce que le GDPR ?
– Comment les organisations gèrent-elles les impératifs de protection des données ; et existe-t-il des différences en fonction des pays ?
– Quel sera l’impact de ce nouveau texte sur les entreprises ?
– Les entreprises sont-elles prêtes pour la mise en place de ce règlement ?
– Que peuvent-elles faire pour s’assurer qu’elles sont en conformité avec le GDPR ?
De manière générale, les entreprises devront repenser la manière dont elles collectent, traitent et stockent les données.
Il sera désormais obligatoire de tenir à disposition des internautes dont les données sont stockées, un texte clair expliquant la politique de sécurisation des données. Les entreprises devront également pouvoir leur fournir toutes leurs données personnelles dans un format simple et transférable via internet. Le droit à l’oubli devra également rendre possible la suppression rapide de toutes les données.
Pour cela, les contrats établis par les entreprises avec leurs prestataires informatiques (notamment les fournisseurs de services de Cloud) devront être passés en revue dans les prochains mois pour s’assurer que ces nouvelles règles sont bien prises en compte. En particulier, il sera nécessaire de vérifier que pour chaque information collectée, une demande de consentement a été effectuée, et que l’information détaillant l’endroit où sont stockées ces données est connue. Une fois ce travail d’audit réalisé, l’entreprise pourra alors demander un certificat européen, valable 5 ans, attestant sa conformité au GDPR.
Références :
- http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN
- http://www.globalsecuritymag.fr/GDPR-Une-legislation-peu-connue,20150119,50078.html
- http://webcache.googleusercontent.com/search?q=cache:cf_u15g9K2kJ:www.cil.cnrs.fr/CIL/spip.php%3Farticle2634+&cd=2&hl=fr&ct=clnk&gl=fr
Référence CERT-XMCO :