Protection des données à caractère personnel en 
Europe : le changement, c’est maintenant! 
1 
White paper 11 : Sécurité d...
2 
Une évolution nécessaire 
C’est pour cette raison qu’une nouvelle réglementation européenne est en préparation. L’Europ...
3 
• L’institution du droit à l’oubli : le citoyen européen pourra exiger la suppression de ses données 
s’il ne souhaite ...
4 
minimal. Le cycle de vie de l’information, c’est-à-dire l’acquisition, le stockage, l’utilisation, le partage, 
la dest...
Prochain SlideShare
Chargement dans…5
×

Protection des données à caractère personnel en Europe : le changement, c'est maintenant!

302 vues

Publié le

Depuis les années nonante, le traitement des données à caractère personnel a profondément évolué. Il était impossible à l’époque d’imaginer le succès d’Internet, des médias sociaux, des technologies mobiles ou du cloud computing. Et ce n’est pas fini : des évolutions telles que l’Internet des Objets vont également s’introduire de manière permanente dans la vie privée de chacun d’entre nous. La ‘Donnée’ est aujourd’hui au cœur d’un Business florissant, celui de la ‘Digital Economy’.

Publié dans : Services
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
302
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
7
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Protection des données à caractère personnel en Europe : le changement, c'est maintenant!

  1. 1. Protection des données à caractère personnel en Europe : le changement, c’est maintenant! 1 White paper 11 : Sécurité de l’information et conformité règlementaire Mathieu Briol Ayant toujours travaillé dans le monde du conseil en entreprise, Mathieu Briol est actif depuis plus de 10 ans dans les domaines liés aux télécommunications, à la gestion des risques de sécurité de l’information, la conformité des systèmes d’information et la continuité d’activités. Ses expériences métier couvrent les secteurs de la finance, des soins de santé, de l’industrie technologique et le secteur public. Fin 2008, il a participé avec deux associés à la création de Mielabelo, un cabinet de conseil belge, actif notamment dans les domaines de la gestion des risques, de la conformité et de la sécurité des systèmes d’information. Introduction Depuis les années nonante, le traitement des données à caractère personnel a profondément évolué. Il était impossible à l’époque d’imaginer le succès d’Internet, des médias sociaux, des technologies mobiles ou du cloud computing. Et ce n’est pas fini : des évolutions telles que l’Internet des Objets vont également s’introduire de manière permanente dans la vie privée de chacun d’entre nous. La ‘Donnée’ est aujourd’hui au coeur d’un Business florissant, celui de la ‘Digital Economy’. Une législation vieillissante La législation protégeant les données à caractère personnel en Europe existe maintenant depuis près de vingt ans. Le référentiel européen en la matière est principalement composé de deux directives : • La Directive 95/46/EC, aussi appelée «Directive Vie Privée», constitue le texte de référence au niveau européen: elle concerne la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Elle institue : - L’interdiction du traitement automatisé, sauf si les exigences de proportionnalité, transparence, et finalité légitime sont respectées, - Le droit d’accès et de rectification aux données, ainsi que le principe du consentement, - La création d’une autorité de protection des données personnelles au sein de chaque état membre. • La Directive 2002/58/EC, dénommée «Directive Vie Privée et Communications Électroniques», décrit des exigences spécifiques, relatives aux Technologies de l’Information et de la Communication, afin de garantir le droit au respect de la vie privée. Les règles concernent notamment : - L’interdiction des spams, - Le régime de l’accord préalable de l’utilisateur (opt-in), - L’installation de cookies. Aujourd’hui, notre quotidien est marqué par des évolutions digitales continuelles qui nécessitent un encadrement règlementaire adapté.
  2. 2. 2 Une évolution nécessaire C’est pour cette raison qu’une nouvelle réglementation européenne est en préparation. L’Europe voit dans la protection des données à caractère personnel une opportunité Business très importante ainsi qu’un moyen de renforcer le droit des citoyens à la protection de leur vie privée. À la suite des scandales NSA/Snowden, il est en effet apparu clairement que si l’Europe parvient à instituer des règles fortes, claires et globales dans tout le territoire européen en matière de protection des données, cela peut lui fournir un avantage compétitif différentiateur. De plus, en instaurant une telle politique, l’Europe assure à ses citoyens un traitement transparent, uniforme et sécurisé de leurs données privées… et dès lors, davantage de confiance de leur part. Ce n’est malheureusement pas toujours le cas aujourd’hui ; en effet, les Directives n’apparaissent pas transposées de manière équivalente au sein de l’Union. Depuis mars 2014 et le vote du Parlement européen concernant la proposition de règlement relative à la protection des données à caractère personnel, la réforme apparaît aujourd’hui irréversible. Même s’il est pour le moment difficile de prédire le contenu final du Règlement, plusieurs lignes de force se détachent : • L’établissement d’une réglementation paneuropéenne unique et non 28 réglementations différentes • L’application transversale de la réglementation, pour toutes les entreprises, qu’elles soient européennes ou pas Les entreprises établies à l’extérieur de l’Union, mais opérant dans l’Union, devront également appliquer cette nouvelle réglementation. Cela n’est pas le cas aujourd’hui et génère des contraintes désavantageant les entreprises européennes face à la compétition étrangère. • Des autorités nationales plus puissantes et des sanctions administratives graduelles harmonisées dans l’Union (lettre d’avertissement, audit des mesures de protection, amende allant jusqu’à 100 millions d’euros ou 5% du chiffre d’affaires mondial de l’organisation concernée) • La mise en place du principe de responsabilisation, et l’obligation du responsable de traitement de prouver sa conformité par l’adoption de politiques internes et de mécanismes visant à assurer cette conformité • La désignation de Data Protection Officers (DPO) ou délégués à la protection des données • La réalisation de Privacy Impact Assessments dans des cas où des risques spécifiques sont présents, et la mise en place de mesures de sécurité visant à contrer des menaces telles que la destruction ou la perte accidentelle, le traitement illégal, la dissémination, l’accès ou encore l’altération non-autorisée de données personnelles • La documentation de toutes les opérations de traitement de données
  3. 3. 3 • L’institution du droit à l’oubli : le citoyen européen pourra exiger la suppression de ses données s’il ne souhaite plus qu’elles soient sujettes à traitement et sous certaines conditions • La mise en place du consentement explicite au traitement de données à caractère personnel • L’obligation de notification en cas de fuite ou d’incident • La prise en compte de la protection des données personnelles dès le début des initiatives de traitement de données, aussi appelée le «Privacy by Design». L’adoption des textes finaux devrait intervenir courant 2015 et les premiers effets devraient se faire sentir sur les organisations à partir de 2016. Il est donc temps de préparer ! Quelques conseils ciblés pour bien se préparer Nous reprenons ici quelques conseils très ciblés par rapport aux contraintes haut niveau du règlement à paraître. Les mesures finales n’étant pas encore confirmées, il se pourrait qu’il soit nécessaire de procéder à des ajustements en cours de route. Cependant, les lignes directrices principales ne devraient pas être modifiées. 1. Connaître votre ennemi Une bonne connaissance de ces nouvelles contraintes apparaît indispensable afin de définir une approche soutenable et pragmatique de mise en conformité. Délégué à la Protection des données, consentement explicite, notification de fuite de données, Privacy by Design, Privacy Impact Assessments, … autant de contraintes et de concepts qu’il vous faudra comprendre pour fourbir vos armes au moment voulu ! 2. Sensibiliser la hiérarchie à la montée en puissance prévisible des autorités de protection nationales Les sanctions potentielles devraient suffire à faire comprendre au Management les conséquences du nouveau règlement et toute l’utilité d’un programme de mise en conformité. Sans cette prise de conscience du Management, il est difficile de mobiliser les forces vives et de sensibiliser l’ensemble du personnel. 3. Mettre en place une organisation efficace au service de la conformité La désignation d’un Délégué à la Protection des données s’impose. Elle sera obligatoire, sauf pour les PMEs, sous certaines conditions. Son implication dans chaque initiative impliquant un traitement de données à caractère personnel est une condition minimale du concept de Privacy by Design. 4. Cartographier les flux de données personnelles Difficile de se mettre en conformité sans connaître les flux de données à caractère personnel au sein des différents process métier de l’organisation. Identifier ces flux, comprendre les entrées, traitements et sorties d’information est une étape essentielle afin d’espérer assurer un niveau de conformité
  4. 4. 4 minimal. Le cycle de vie de l’information, c’est-à-dire l’acquisition, le stockage, l’utilisation, le partage, la destruction et l’archivage de données, doit donc faire l’objet d’une documentation claire de façon à pouvoir évaluer les contrôles mis en place, leur adéquation par rapport aux risques identifiés et les opportunités d’amélioration à cet égard. 5. Établir des politiques internes de gouvernance et de conformité de l’information La documentation des activités de conformité est indispensable. Elle devra fournir au minimum trois éléments: • Une approche globale d’assurance de conformité, • Les rôles respectifs de chacun (audit interne, audit externe, délégué à la protection des données, process owner…), • Les activités visant à fournir à l’autorité de protection un niveau d’assurance raisonnable quant à la conformité réglementaire de l’organisation et à sa répétabilité, notamment via la génération systématique de traces. Voulez-vous en savoir davantage sur le sujet? Envoyez un mail à : mathieu.briol@mielabelo.com Conclusion et recommandations En conclusion, un programme de mise en conformité s’impose ! Comme toutes les exigences réglementaires, la nouvelle réglementation de protection des données à caractère personnel risque de faire grincer des dents. À n’en point douter, elle va nécessiter des investissements importants pour toutes les organisations car elle s’appliquera à tout traitement de ce type de données. Le renforcement des autorités de protection nationales demandera également la libération de nouveaux moyens budgétaires publics. En effet, pour être respectée, la législation doit être appliquée de manière stricte. En instituant des pouvoirs significatifs aux autorités de protection nationales, le nouveau règlement européen impose également un financement en ligne avec les attentes réglementaires. En ces périodes budgétaires troublées, il est à espérer que nos politiciens trouveront encore quelques euros pour soutenir ces efforts… Pour les organisations souhaitant se mettre en conformité, l’étape initiale consiste en une évaluation de l’écart entre le niveau réglementaire et les pratiques concrètes en matière de traitement des données à caractère personnel. Sur cette base, un programme pourra être établi de manière à étaler les efforts à fournir sur la durée. Si certaines mesures peuvent être rapidement mises en place (désignation d’un délégué à la protection des données, etc.), d’autres, telles que l’implémentation du Privacy by Design ou de mesures de notification d’incident, peuvent nécessiter de profondes modifications dans les fonctionnements au quotidien. Ne perdez donc pas de temps et retroussez d’ores et déjà vos manches ! 2016, c’est demain…

×