Blog

Le RGPD: un regard extérieur

La compréhension des différentes composantes du RGPD est essentielle à l’élaboration d’un plan complet d’adhésion au règlement.
Thumbnail

Nous avons assisté l’an passé à une augmentation massive des demandes visant à savoir comment Delphix peut aider les organisations à se conformer au Règlement général sur la protection des données (RGPD) de l’UE. Et pour une bonne raison : peu importe l’endroit dans le monde où votre entreprise opère, si vous détenez des données personnelles concernant des citoyens européens, et que ces données font l’objet d’une fuite ou d’une compromission, votre organisation sera passible d’une amende d’une sévérité jamais vue par le passé. Ceci pourrait en partie expliquer pourquoi récemment la plus grande part des demandes provient de sociétés établies aux États-Unis. Comme nous vivons dans un monde de plus en plus interconnecté, la plupart des organisations ayant leur siège aux États-Unis ont des clients en Europe, ce qui signifie en fin de compte que ces sociétés doivent elles aussi comprendre et mettre en place des modifications visant à respecter le RGPD. Nous travaillons depuis longtemps avec des établissements financiers dont les sièges se situent aux États-Unis (nous avons par exemple récemment remporté le prix de l’innovation décerné par JPMC) et le RGPD est devenu la première préoccupation de tous. L’un de nos clients du secteur de la finance nous a déclaré, de façon officieuse, qu’avec seulement 5 % de leur activité en Europe, le coût lié au respect du RGPD était suffisamment élevé pour les faire sérieusement réfléchir quant à l’avenir de leurs activités dans l’Union européenne.

Nous appuyant sur un nombre important de projets RGPD sur lesquels nous avons travaillé, nous partagerons dans une série d’articles de blog au cours des prochaines semaines notre vision du RGPD, ses impacts à l’international, et une procédure étape par étape pour y adhérer correctement.

Tout d’abord, la compréhension des différentes composantes du RGPD est essentielle à l’élaboration d’un plan complet d’adhésion au règlement. Nous commencerons par couvrir les articles les plus importants puis examinerons chacun d’entre eux en détail dans une série d’articles de blog. Il est important de noter que le RGPD décrit à la fois les modifications pour les personnes et les processus, et l’ampleur de la directive est telle qu’aucun fournisseur ne satisfera à tous les points (et que les fournisseurs ne parviendront pas à régler tous les éléments). Outre cet aperçu, de prochains articles de blog mentionneront les secteurs où les produits et services de Delphix peuvent être utiles.

Aperçu RGPD, en bref

Le RGPD est entré en vigueur le 25 mai 2018. Le RGPD s’applique à tout membre de l’Union européenne et à toute organisation ayant une activité commerciale dans l’UE (c’est-à-dire presque toutes les organisations importantes aux États-Unis!).

Même si de nombreuses sociétés ont déjà adopté des procédés et procédures de protection de la vie privée conformes à l’ancienne loi sur la protection des données (la directive), le RGPD contient un certain nombre de nouvelles protections pour les personnes concernées au sein de l’UE (personne physique identifiable), et menace d’amendes et de sanctions importantes tout responsable du traitement et sous-traitant ne les respectant pas dès son entrée en vigueur au printemps 2018.

Avec les nouvelles obligations sur le consentement des personnes concernées, l’anonymisation des données, la notification de violation, les transferts transfrontaliers de données, et la désignation de délégués à la protection des données, pour n’en citer que quelques-unes, le RGPD oblige les sociétés traitant des données de citoyens européens à engager une réforme organisationnelle majeure.

  • Notification de violation de données : le RGPD exige que soient notifiées à la fois l’autorité de contrôle et les personnes concernées affectées (avec un avertissement concernant la pseudonymisation, mais nous y reviendrons plus tard) lorsque des données personnelles de citoyens de l’UE font l’objet d’une violation.

  • Délégué à la protection des données : les organisations doivent créer une nouvelle fonction, celle de « Délégué à la protection des données » afin de respecter le RGPD, comprenant la gestion de la conformité, la collaboration avec l’autorité et la supervision des activités liées au RGPD.

  • Consentement : le RGPD ajoute des obligations supplémentaires strictes, l’organisation se devant d’obtenir le consentement avant l’utilisation de toute donnée personnelle d’une personne concernée (avec des définitions claires sur la façon de procéder) et de faciliter le retrait de ce consentement à tout moment.

  • Transferts transfrontaliers de données : le RGPD permet explicitement les transferts de données personnelles, mais uniquement aux organisations/pays respectant un ensemble de conditions concernant la protection des données personnelles.

  • Profilage : le RGPD précise comment le traitement automatisé des données personnelles peut être géré ; les utilisateurs peuvent notamment renoncer à des décisions ayant été prises uniquement sur la base de leurs informations personnelles.

  • Pseudonymisation : le RGPD admet que la pseudonymisation (ou l’anonymisation ou le masquage des données) est un moyen acceptable de protéger/traiter les données personnelles et encourage son utilisation.

Dans cette série d’articles de blog, nous nous attaquerons à ces sujets et verrons ce que signifie exactement l’adoption de ces mesures.

Tags