Rapide ou pas Le Règlement général sur la protection des données (RGPD) de l’Europe est entré en vigueur en mai 2018, et naturellement, nous préférerions que vous soyez prêt pour cela. Le RGPD deviendra la principale loi de l’UE en matière de protection des données et remplacera la directive sur la protection des données de 1997 (« directive »). Le RGPD arrive au bon moment pour plusieurs raisons. La directive a maintenant 20 ans, et le paysage technologique a changé. Les technologies de l’information sont intégrées à la vie quotidienne. Cependant, en tant que directive, cela signifiait également qu’il s’agissait d’une norme minimale et que les États membres élaboraient souvent des politiques cohérentes en matière de cybersécurité. L’UE fonctionnant comme un marché unifié, cela posait un problème. Le RGPD est un règlement complet qui sera appliqué dans son intégralité dans tous les États membres en tant que politique unique. Cela permet de corriger le déséquilibre constaté, certains États membres ayant des politiques de sécurité plus strictes que d’autres. Le secteur de la sécurité de l’information sera touché à l’échelle mondiale. Parlons donc de ce qu’est le RGPD et de ce que seront exactement certains de ces impacts.
Qu’est-ce que le RGPD
Le RGPD est un règlement de cybersécurité qui a été adopté en mai 2016 après quatre ans de développement. Ce règlement vise à protéger les données personnelles des citoyens de l’UE. Il élargit les droits des citoyens de l’UE et affecte toute organisation qui engage un État membre de l’UE pour des affaires. Cette législation comporte des éléments critiques qu’il convient de souligner car ils ont sans aucun doute un impact sur le secteur de la sécurité de l’information.
Contrairement à la directive, le RGPD s’applique à toute entreprise qui commercialise auprès de tout citoyen de l’UE. En effet, une grande partie du monde est soumise au RGPD, qu’ils détiennent ou non des bureaux ou des actifs dans l’UE. Vous trouverez de plus amples informations à l’article 3, « Amendes » : Le RGPD impose une amende de 4 % du chiffre d’affaires mondial si une entreprise viole des chapitres spécifiques du règlement. Il s’agit notamment d’une violation des principes, des droits des personnes concernées et de la responsabilité des contrôleurs/traiteurs de données.
Droits des personnes concernées : Le chapitre sur les droits des citoyens européens est très complet. Parmi les droits importants à noter, citons le droit à la portabilité des données, le droit de rectification, le droit à l’effacement, le droit à la limitation du traitement des données et le droit d’opposition au traitement automatisé. Les entreprises dont les activités principales incluent le traitement de « catégories spéciales » de données définies par le RGPD doivent nommer un DPD pour garantir le respect de la conformité et la sécurité des données. Les catégories spéciales de données comprennent tout ce qui permet d’identifier de manière unique, comme la race, l’orientation sexuelle, les données biométriques, les penchants politiques et bien d’autres. Se référer à l’article 9 pour plus de détails.Notification des violations En vertu du RGPD, les entreprises sont tenues de signaler une violation à l’autorité compétente dans les 72 heures. Cette obligation n’est toutefois pas universelle et dépend du rôle et du contexte. Les règles s’appliquent différemment aux responsables du traitement et aux sous-traitants en cas de violation. Pour des précisions sur les exigences de chacun, reportez-vous à l’article 31.
Impacts sur le secteur de la sécurité de l’information
Vous sentez-vous déjà impacté ? Si vous êtes une entreprise de sécurité de l’information basée en Europe, vous avez probablement déjà eu quelques discussions ou même des appels au sujet du RGPD. Les impacts sur le secteur de la sécurité de l’information seront centrés sur le développement de produits, la stratégie réglementaire et la dotation en personnel. Une grande partie du RGPD correspond à ce pour quoi les experts en sécurité de l’information font pression depuis des années. Le RGPD a transposé dans la législation les meilleures pratiques des cadres « privacy by design » et « security by design ». Une grande partie de la législation ne devrait donc pas être nouvelle pour les acteurs du secteur de la sécurité de l’information. Cependant, elle change les offres faites aux clients et leurs besoins.
Développement de produits
Avant cette législation, les produits de sécurité étaient globalement conçus autour de la sécurité d’abord, mais cela ne signifie pas intrinsèquement que la vie privée était également prioritaire. Les normes RGPD devront désormais être intégrées dans tous les produits développés par les fournisseurs de cybersécurité, sous peine d’être évincés du marché. Les déploiements existants devront être revus et mis à jour s’ils ne sont pas déjà conformes au RGPD. Pour les consultants en cybersécurité, leurs services nécessiteront désormais une compréhension fluide du RGPD et de la manière dont il s’applique à leurs clients potentiels et existants.