Le RGPD (Règlement Général sur la Protection des Données) a été conçu avec de bonnes intentions – mais le résultat peut vous laisser penser le contraire. En raison d’un effort trop zélé pour encourager la conformité, combiné à peu ou pas d’analyse sur l’impact financier que la loi pourrait avoir, les entreprises qui violent le RGPD devront faire face à des pénalités minimales de dix millions d’euros. Chez CiraSync, nous pensions à l’origine que le RGPD concernait exclusivement la résidence des données ; si nous domiciliions toutes les données client dans un centre de données de l’UE, nous serions en conformité. Mais cette hypothèse était fausse. Nous avons donc estimé que cela offrait une opportunité d’éduquer nos clients et lecteurs sur ce qu’est exactement le RGPD.
Qu’est-ce que le RGPD ?
Si les scandales Equifax et Facebook de la dernière décennie sont comme des fléaux sur Internet, le RGPD est censé servir de vaccin empêchant que des événements similaires ne se reproduisent. Le 25 mai 2018, l’UE commencera sa tournée pour éradiquer ce fléau. Expliquer le RGPD dans son intégralité prendrait un cours de plusieurs semaines, mais aux fins de le conceptualiser ici, le RGPD est un texte législatif de l’UE destiné à protéger les données sur Internet. Cependant, contrairement à un texte législatif typique, le RGPD est en grande partie – mais pas entièrement – un ensemble d’idéaux et non de lois codifiées. Cela a été fait pour qu’il puisse servir de « document vivant » (semblable à la constitution) avec bon nombre des normes réelles et tangibles décidées par un comité nommé en cas de besoin. Bien que cela semble excellent sur le papier, cela rend difficile la conformité lorsque de nombreuses exigences sont encore inconnues. Le RGPD est un texte législatif énorme et tentaculaire, l’un de ces types de législation « Nous ne savons vraiment pas tout ce qu’il contient, pas plus que les créateurs vu qu’il a été élaboré par un comité ». Cependant, on espère qu’il servira d’ensemble de réglementations et d’idéaux pour guider l’avenir de la protection et de la gestion des données en ligne. Pour ce faire, il crée des garanties et des réglementations sur la manière dont les données personnelles sont stockées, traitées et contrôlées. Par exemple, il doit y avoir un système en place pour la suppression des données à la demande de l’utilisateur.
Ce qui est important pour les opérateurs commerciaux américains est que la conformité a une « applicabilité extraterritoriale » — les entreprises américaines qui ne se conforment pas aux directives du RGPD ne feront pas d’affaires au sein de l’UE ou avec des entités de l’UE, à moins que les entreprises ne souhaitent s’exposer à des pénalités potentiellement catastrophiques. Naturellement, la conformité sera vitale si les entreprises souhaitent que leurs clients et partenaires européens travaillent avec elles. Il est juste de dire que ce style de réglementation et d’application est plutôt sévère. Bien qu’il ait laissé de nombreuses entreprises et individus indignés, la conformité sera probablement élevée. Donc, en gardant cela à l’esprit, voici ce que le RGPD signifie pour les entreprises américaines, ainsi que les directives énoncées dans la nouvelle réglementation.
Quelles sont exactement les nouvelles directives?
Le RGPD vise à protéger les citoyens de l’UE contre les violations de données et à accroître leur confidentialité grâce à un certain nombre de directives fondamentales. En voici quelques unes:
Notification de violation
En vertu des nouvelles directives, les entreprises sont tenues d’informer toutes les personnes dont les informations peuvent avoir été compromises. En cas de violation de données, la notification doit être effectuée dans les 72 heures suivant la prise de connaissance de la violation.
Droit d’accès
Il existe des termes particuliers impliqués dans le RGPD. Il est donc utile de comprendre ce qu’est un contrôleur de données, un processeur de données ou une personne concernée. Par exemple, Google et Facebook sont tous deux des contrôleurs de données, ce qui signifie qu’ils peuvent agir, stocker, transférer et vendre des données. Ces entités génèrent des revenus en utilisant des informations personnelles et des données démographiques pour créer des publics ciblés. Une fois les groupes divisés et définis, ils vendent de l’espace sur leurs plateformes aux annonceurs qui souhaitent toucher ces publics cibles.
D’autre part, un processeur de données est une entité qui stocke ou transforme des données en votre nom. CiraSync est d’ailleurs un processeur de données. CiraSync traite les données selon les règles de synchronisation spécifiées par un client. Par exemple, les listes de contacts et les calendriers partagés sont exclusivement utilisés par un abonné — CiraSync les traite comme des gouttes de données à chiffrer et à utiliser uniquement au profit de l’abonné.
Enfin, il y a les Personnes Concernées, c’est-à-dire les utilisateurs. Lorsque le RGPD fait référence aux personnes concernées, il parle de vous ; l’individu surfant sur le Web ou entrant votre profil dans un réseau social. Le droit d’accès donne aux personnes concernées le droit de demander des informations aux contrôleurs de données quant à l’utilisation de leurs informations personnelles, quelles données ont été collectées et si (et à qui) ces données ont été distribuées. Les utilisateurs ont le droit de consulter gratuitement toutes les données personnelles collectées à leur sujet dans un format facilement lisible.
Droit à l’oubli
L’un des aspects les plus médiatisés de la politique de l’UE en matière de données, le droit à l’oubli, c’est-à-dire la suppression des données, exige qu’un responsable du traitement ou un sous-traitant supprime toutes les informations personnelles de la partie requérante, arrête immédiatement toute diffusion de ces informations et, dans certains cas, arrête le traitement par des tiers de ces données. Il existe quelques exceptions à cette règle, mais des changements comme celui-ci sont très représentatifs de ce que le RGPD espère accomplir. Voici quelques exemples : l’intégralité de votre profil de réseau social et toutes les données vous concernant, y compris les métadonnées, sont purgées. Un moteur de recherche vous supprimera de ses index afin que vos informations ne soient plus visibles dans les résultats de recherche. Suppression de vos informations des bases de données, telles que celles utilisées pour le marketing par courrier électronique ou les sollicitations téléphoniques. Il existe un certain nombre de formes différentes sous lesquelles les données peuvent et ont été collectées ; Le RGPD donne aux personnes concernées un pouvoir important sur la destination de leurs données et sur qui peut les utiliser.
Portabilité des données
La portabilité des données exige que les entreprises remettent toutes les informations personnelles dont elles disposent sur un individu à la demande de cet individu. Les données doivent être remises en temps opportun et de manière facile à lire et gratuitement.
Confidentialité dès la conception
Tenant (locataire) un peu moins tangible, mais l’objectif de la directive sur la confidentialité de la conception est d’avoir des systèmes de protection des données en vigueur lors de la création de la conception du système, et non comme un ajout ultérieur. À peu près un locataire inapplicable et dénué de sens. C’est un bel idéal, mais sans directives exploitables, c’est fondamentalement inutile.
Délégués à la protection des données
Sans entrer dans trop de détails, les entreprises qui ont l’un des éléments suivants: (a) les pouvoirs publics, (b) des organisations qui s’engagent dans une surveillance systématique à grande échelle, ou (c) les organisations qui se livrent au traitement à grande échelle de données personnelles sensibles (art. 37) devront engager un délégué à la protection des données pour superviser le traitement et le contrôle appropriés des informations personnelles des individus. Il existe une myriade de règles et de réglementations associées à cette personne que nous ne couvrirons pas ici, mais qui peuvent faire l’objet de recherches plus approfondies sur le site Web du RGPD. Il existe une longue liste de règles concernant un délégué à la protection des données, mais en voici deux qui illustrent bien les directives absurdes:
- Le délégué à la protection des données doit rendre compte directement au responsable le plus haut placé au sein de l’entreprise, et à personne d’autre. (Exactement. Le PDG / Conseil / etc.).
- Le délégué à la protection des données ne doit avoir aucune autre fonction au sein de l’entreprise, doit être à l’abri de tous les aspects/inclinations politiques de l’entreprise, et doit avoir un rôle neutre dans l’entreprise, tout en étant un employé de ladite entreprise.
Les DPO ne sont requis que pour les contrôleurs de données, donc si vous êtes une petite entreprise fournissant des services et vous tombez dans cette classification, vous pourriez trouver cela aussi absurde que cela puisse paraître.
Consentement éclairé
Avec le RGPD, des modifications ont été apportées à la façon dont les entreprises sont autorisées à collecter des informations sur les utilisateurs. À partir de mai, lors de la collecte d’informations sur les utilisateurs, un seuil de consentement éclairé doit être atteint.
Dans le passé, les entreprises pouvaient acheter activement des listes de diffusion, entre l’exploration de données, les collections générales, etc. Une entreprise de marketing pouvait effectivement collecter les adresses e-mail des utilisateurs sans leur consentement.
Aujourd’hui, les entreprises ne pourraient plus (généralement) acheter des listes de diffusion; au lieu de cela, les utilisateurs devaient volontairement s’ajouter à une liste de diffusion, souvent en s’inscrivant.
Dans l’avenir: consentement éclairé, c’est-à-dire double opt-in. Les utilisateurs doivent d’abord s’inscrire à un e-mail, et à partir de là, ils doivent ensuite être informés de manière approfondie de la manière dont leurs données seront utilisées, comment elles seront traitées, qui les traitera, etc., etc. Cela devient un obstacle assez important à la collecte d’informations sur les utilisateurs. En fait, de nombreuses entreprises de marketing pensent que les listes de diffusion moyennes des entreprises diminueront de plus de 50 %.
De plus, les utilisateurs qui se sont inscrits, même récemment, doivent être informés des changements apportés à la politique de données – ces opt-ins précédemment existants ne dépassent plus la barre de ce qui est considéré comme un consentement éclairé.
Résidence de données
Le RGPD énonce des considérations particulières si les données de l’UE sont stockées en dehors des limites territoriales de l’UE ou transférées en dehors de ces territoires. De nombreuses entreprises vont désormais devoir louer de l’espace de stockage sur des serveurs physiquement situés au sein même de l’UE afin de se conformer à ce mandat. Si vous accédez à des données à l’intérieur de l’Union Européenne et souhaitez les traiter ailleurs, des formalités administratives supplémentaires peuvent s’appliquer.
À partir de maintenant
Il s’agit d’une longue liste de changements qui prendront un certain temps avant d’entrer pleinement en vigueur. En attendant, voici ce que nous faisons chez CiraSync pour assurer la conformité au RGPD et protéger les informations personnelles de nos utilisateurs :
- Nous avons mis en place des serveurs dans un centre de données de l’UE. Toutes les données sont traitées ou résident dans l’UE. En d’autres termes, nous sommes en conformité avec les exigences du RGPD sur la résidence de données.
- CiraSync doit lire une liste de contacts, puis contacter des dizaines ou centaines de fois les utilisateurs. Nous ne pourrions pas le faire sans une base de données intermédiaire pour mettre en cache ces données. Pour les abonnés de l’UE, toutes les données utilisateur mises en cache sont désormais stockées sur des serveurs de l’UE.
- Le cryptage de toutes les informations d’identification personnelles sera mis en œuvre au deuxième trimestre 2018.
- Les améliorations du site Web pour répondre à la conformité GDPR.
Quel que soit le secteur, les directives énoncées par le RGPD signalent un changement massif dans la façon dont les entreprises devront gérer et aborder les informations des utilisateurs. Bien que les changements eux-mêmes ne soient pas trop difficiles à mettre en œuvre, vous constaterez peut-être que l’embauche d’un délégué à la protection des données peut être nécessaire.
Ce que cela signifie pour les entreprises reste à voir. Il faudra probablement plusieurs années pour que le plein impact de ces changements soit compris dans leur intégralité.
Nous aimerions que les gens s’éloignent des problèmes potentiels en se posant ces questions et en constatant si le RGPD va vraiment trop loin:
- Qu’arrive-t-il exactement à une entreprise qui appliquent ces règles à moitié et qui se fait payer une amende ?
- Des modifications doivent-elles être apportées ?
- Quel sera le niveau de conformité ?
Nous ferons le suivi une fois que la législation entrera en vigueur. D’ailleurs, nous avons pris quelques libertés éditoriales avec le titre. Ce n’est pas vrai; pas encore en tout cas.
Plus de réponses à vos problèmes
• Les mises à jour obligatoires des mots de passe nuisent à la sécurité des utilisateurs : modification de la politique de mot de passe Microsoft
• Remué, pas secoué : de nouveaux outils pour vaincre les robocalls
• L’abrogation de la neutralité du Net : ce à quoi les utilisateurs de smartphones peuvent s’attendre en 2018
• Sécurité SaaS : Comment CiraSync protège les données des utilisateurs