Le règlement général sur la protection des données (RGPD), la référence de l'Union européenne confidentialité des données loi, est entrée en vigueur en 2018. Pourtant, de nombreuses organisations ont encore du mal à répondre aux exigences de conformité, et les autorités européennes de protection des données n’hésitent pas à imposer des sanctions.

Même les plus grandes entreprises mondiales ne sont pas à l’abri des problèmes du RGPD. Régulateurs irlandais a infligé à Meta une amende de 1.2 milliard d'euros en 2023. Les autorités italiennes sont enquêter sur OpenAI pour des violations présumées, allant même jusqu'à interdire brièvement ChatGPT.

De nombreuses entreprises ont du mal à mettre en œuvre les exigences du RGPD, car la loi est non seulement complexe, mais laisse également une grande part de discrétion. Le RGPD propose une litanie de règles sur la manière dont les organisations en Europe et hors d'Europe traitent les données personnelles des résidents de l'UE. Cependant, cela donne aux entreprises une certaine latitude dans la manière dont elles mettent en œuvre ces règles.

Les détails du projet de toute organisation pour se conformer pleinement au RGPD varient en fonction des données collectées par l'organisation et de ce qu'elle fait de ces données. Cela dit, toutes les entreprises peuvent prendre certaines mesures essentielles lors de la mise en œuvre du RGPD : 

• Inventaire des données personnelles
• Identifiez et protégez les données de catégories spéciales 
• Activités de traitement des données d’audit
• Mettre à jour les formulaires de consentement des utilisateurs  
• Créer un système de tenue de dossiers
• Désigner des responsables de la conformité
• Rédiger une politique de confidentialité des données
• Assurez-vous que les partenaires tiers sont conformes
• Créer un processus d'évaluation de l'impact sur la protection des données
• Mettre en œuvre un plan de réponse aux violations de données
• Faciliter l’exercice de leurs droits par les personnes concernées
• Déployer les informations mesures de sécurité

Dois-je mettre en œuvre le RGPD ? 

Le RGPD s'applique à toute organisation qui traite les données à caractère personnel des résidents européens, quel que soit le lieu où est basée cette organisation. Compte tenu de la nature interconnectée et internationale de l’économie numérique, cela concerne aujourd’hui de nombreuses entreprises, voire la plupart. Même les organisations qui ne relèvent pas du champ d'application du RGPD peuvent adopter ses exigences pour renforcer la protection des données.

Plus précisément, le RGPD s'applique à tous les responsables du traitement et sous-traitants basés dans l'Espace économique européen (EEE). L'EEE comprend les 27 États membres de l'UE ainsi que l'Islande, le Liechtenstein et la Norvège. 

A contrôleur de données désigne toute organisation, groupe ou personne qui collecte des données personnelles et détermine comment elles sont utilisées. Pensez : un détaillant en ligne qui stocke les adresses e-mail des clients pour envoyer des mises à jour de commande.

A processeur de données désigne toute organisation ou groupe qui mène des activités de traitement de données. Le RGPD définit au sens large le « traitement » comme toute action effectuée sur des données : les stocker, les analyser, les modifier, etc. Les sous-traitants incluent des tiers qui traitent les données personnelles pour le compte d'un responsable du traitement, comme une société de marketing qui analyse les données des utilisateurs pour aider une entreprise à comprendre les données démographiques clés des clients.

Le RGPD s'applique également aux responsables du traitement et aux sous-traitants situés en dehors de l'EEE s'ils remplissent au moins l'une des conditions suivantes : 

• L'entreprise propose régulièrement des biens et des services aux résidents de l'EEE, même si aucun argent ne change de mains.
• La société surveille régulièrement l'activité des résidents de l'EEE, par exemple en utilisant des cookies de suivi. 
• La société traite les données personnelles pour le compte des responsables du traitement dans l'EEE. 
• L'entreprise a des employés dans l'EEE.

Il y a quelques autres éléments à noter concernant la portée du RGPD. Premièrement, elle ne concerne que les données personnelles des personnes physiques, également appelées personnes concernées dans le langage du RGPD. UN personne naturelle est un être humain vivant. Le RGPD ne protège pas les données des personnes morales, comme les sociétés, ni les personnes décédées.

Deuxièmement, il n’est pas nécessaire d’être citoyen de l’UE pour bénéficier des protections du RGPD. Il leur suffit d'être un résident formel de l'EEE.

Enfin, le RGPD s'applique au traitement des données personnelles pour pratiquement toutes les raisons : commerciales, académiques, gouvernementales et autres. Les entreprises, les hôpitaux, les écoles et les pouvoirs publics sont tous soumis au RGPD. Les seuls traitements exemptés du RGPD sont les activités de sécurité nationale et de maintien de l'ordre ainsi que les utilisations purement personnelles des données.

Étapes de mise en œuvre du RGPD 

Il n’existe pas de plan unique de conformité au RGPD, mais il existe certaines pratiques fondamentales que les organisations peuvent utiliser pour guider leurs efforts de mise en œuvre du RGPD.

Pour une liste des principales exigences du RGPD, consultez le Liste de contrôle de conformité au RGPD. 

Inventaire des données personnelles  

Bien que le RGPD n’exige pas explicitement un inventaire des données, de nombreuses organisations commencent par là pour deux raisons. Premièrement, connaître les données dont dispose l’entreprise et la manière dont elles sont traitées aide l’organisation à mieux comprendre ses obligations en matière de conformité. Par exemple, une entreprise qui collecte des données sur la santé des utilisateurs a besoin de protections plus solides qu’une entreprise qui collecte uniquement des adresses e-mail.

Deuxièmement, un inventaire complet permet de répondre plus facilement aux demandes des utilisateurs de partager, mettre à jour ou supprimer leurs données. 

Un inventaire de données peut enregistrer des détails tels que :

• Types de données collectées (noms d'utilisateur, données de navigation)
• Populations de données (clients, employés, étudiants)
• Comment les données sont collectées (inscriptions à des événements, pages de destination)
• Où les données sont stockées (serveurs sur site, services cloud)
• Finalité de la collecte des données (campagnes marketing, analyse comportementale)
• Comment les données sont traitées (score automatisé, agrégation)
• Qui a accès aux données (employés, fournisseurs)
• Mesures de protection existantes (chiffrement, authentification multi-facteurs) 

Il peut être difficile de retrouver les données personnelles dispersées sur le réseau de l'organisation dans divers flux de travail, bases de données, points de terminaison et même actifs informatiques fantômes. Pour rendre les inventaires de données plus faciles à gérer, les organisations peuvent envisager d'utiliser des solutions de protection des données qui découvrent et classifient automatiquement les données. 

Découvrez comment IBM Guardium® Data Protection découvre, classe et protège automatiquement les données sensibles dans les principaux référentiels tels qu'AWS, DBaaS et les mainframes sur site.

Identifiez et protégez les données de catégories spéciales 

Lors de l’inventaire des données, les organisations doivent noter toutes les données particulièrement sensibles nécessitant une protection supplémentaire. Le RGPD impose des précautions supplémentaires pour trois types de données en particulier : les données de catégories spéciales, les données sur les condamnations pénales et les données sur les enfants.  

• Données de catégorie spéciale comprend la biométrie, les dossiers de santé, la race, l’origine ethnique et d’autres informations hautement personnelles. Les organisations ont généralement besoin du consentement explicite d'un utilisateur pour traiter les données de catégories spéciales. 

• Données sur les condamnations pénales ne peuvent être contrôlées que par les autorités publiques et traitées sous leurs ordres. 

• Les données des enfants ne peuvent pas être traitées sans le consentement des parents, et les organisations ont besoin de mécanismes pour vérifier l’âge des personnes concernées et l’identité de leurs parents. Chaque État de l'EEE définit sa propre définition du terme « enfant » dans le cadre du RGPD. Les seuils vont de moins de 13 à moins de 16 ans. Les entreprises doivent être prêtes à se conformer à ces différentes définitions. 

Activités de traitement des données d’audit 

Lors de l’inventaire des données, les organisations enregistrent toutes les opérations de traitement subies par les données. Ensuite, les organisations doivent s’assurer que ces opérations sont conformes aux règles de traitement du RGPD. Certains des principes les plus importants du RGPD sont les suivants :

• Tout traitement doit avoir une base juridique établie : Le traitement des données n'est acceptable que si l'organisation dispose d'une base juridique approuvée pour ce traitement. Les bases juridiques courantes comprennent l'obtention du consentement de l'utilisateur, le traitement des données pour exécuter un contrat avec l'utilisateur et le traitement des données dans l'intérêt public. Les organisations doivent documenter la base juridique de chaque opération de traitement avant de commencer.

Pour une liste complète des bases juridiques approuvées, voir le Page de conformité RGPD.

• Limitation de la finalité: Les données doivent être collectées et utilisées dans un but spécifiquement défini. 

• Minimisation des données : Les organisations doivent collecter la quantité minimale de données nécessaire aux fins spécifiées. 

• Exactitude: Les organisations doivent s'assurer que les données qu'elles collectent sont correctes et à jour. 

• Limitation de stockage: Les organisations doivent éliminer les données en toute sécurité dès que leur objectif est atteint. 

Pour une liste complète des principes de traitement du RGPD, consultez le Liste de contrôle de conformité au RGPD.

Mettre à jour les formulaires de consentement des utilisateurs  

Le consentement de l'utilisateur est une base juridique courante pour le traitement. Cependant, le consentement n’est valable au sens du RGPD que s’il est éclairé, affirmatif et librement donné. Les organisations devront peut-être mettre à jour les formulaires de consentement pour répondre à ces exigences.

• Pour garantir que le consentement est éclairé, l’organisation doit expliquer clairement ce qu’elle collecte et comment elle utilisera ces données au moment de la collecte des données.

• Pour garantir que le consentement est affirmatif, les organisations doivent adopter une approche opt-in, dans laquelle les utilisateurs doivent activement cocher une case ou signer une déclaration pour signaler leur consentement. Les consentements ne peuvent pas non plus être regroupés. Les utilisateurs doivent accepter chaque activité de traitement individuellement.  

• Pour garantir la liberté du consentement, les organisations ne peuvent exiger le consentement que pour les activités de traitement de données qui font véritablement partie intégrante d'un service. En d’autres termes, une entreprise ne peut pas obliger les utilisateurs à divulguer leurs opinions politiques pour acheter un t-shirt. Les utilisateurs doivent pouvoir révoquer leur consentement à tout moment.  

Créer un système de tenue de dossiers 

Les organisations de plus de 250 employés et les entreprises de toute taille qui traitent régulièrement des données ou manipulent des données à haut risque doivent conserver des enregistrements électroniques écrits de leurs activités de traitement. 

Cependant, toutes les organisations voudront peut-être conserver de tels registres. Non seulement cela permet de suivre les efforts de confidentialité et de sécurité, mais cela peut également démontrer la conformité en cas d’audit ou de violation. Les entreprises peuvent réduire ou éviter les pénalités si elles peuvent prouver qu’elles ont fait un effort de bonne foi pour se conformer.  

Les responsables du traitement des données voudront peut-être conserver des enregistrements particulièrement solides, car le RGPD les tient responsables de la conformité de leurs partenaires et fournisseurs. 

Désigner les responsables de la conformité RGPD  

Toutes les autorités publiques et tous les organismes qui traitent régulièrement des données de catégorie particulière ou surveillent des sujets à grande échelle doivent désigner un délégué à la protection des données (DPO). Un DPO est un mandataire social indépendant en charge de la conformité au RGPD. Les responsabilités communes comprennent la supervision des évaluations des risques, la formation des employés aux principes de protection des données et la collaboration avec les autorités gouvernementales.

Même si seules certaines organisations sont tenues de nommer des OPH, toutes pourraient envisager de le faire. Avoir un responsable désigné de la conformité au RGPD peut aider à rationaliser la mise en œuvre.

Les DPO peuvent être des salariés d’une entreprise ou des consultants externes qui proposent leurs services sous contrat. Les DPO doivent rendre compte directement au plus haut niveau de direction. L'entreprise ne peut pas exercer de représailles contre un DPD pour avoir exercé ses fonctions. 

Les organisations en dehors de l’EEE doivent désigner un représentant au sein de l’EEE si elles traitent régulièrement les données des résidents de l’EEE ou manipulent des données hautement sensibles. Le Représentant de l'EEE la tâche principale est de coordonner les autorités de protection des données au nom de l'entreprise lors des enquêtes. Le représentant peut être un employé, une entreprise affiliée ou un service embauché. 

Le DPO et le représentant de l’EEE ont des rôles différents avec des responsabilités différentes. Notamment, le représentant agit sous la direction de l'organisation, tandis que le DPD doit être un dirigeant indépendant. Une organisation ne peut pas nommer un seul parti pour servir à la fois de représentant du DPO et de l’EEE.

Si une organisation opère dans plusieurs États de l'EEE, elle doit identifier un autorité de contrôle principale. L'autorité de contrôle principale est la principale autorité de protection des données (APD) qui supervise la conformité au RGPD pour cette entreprise dans toute l'Europe. 

En règle générale, l’autorité de contrôle principale est l’APD de l’État membre où l’organisation a son siège ou exerce ses principales activités de traitement. 

Rédiger une politique de confidentialité des données 

Le RGPD exige que les organisations tiennent les personnes informées de la manière dont elles utilisent leurs données. Les entreprises peuvent répondre à cette exigence en rédigeant des politiques de confidentialité qui décrivent clairement leurs opérations de traitement, y compris ce que l'entreprise collecte, les politiques de conservation et de suppression, les droits des utilisateurs et d'autres détails pertinents.

Les politiques de confidentialité doivent être rédigées dans un langage simple et compréhensible par tous. Cacher des informations importantes derrière un jargon dense peut violer le RGPD. Les organisations peuvent garantir que les utilisateurs voient leurs politiques en partageant les avis de confidentialité au moment de la collecte des données. Les organisations peuvent également héberger leurs politiques de confidentialité sur des pages publiques et faciles à trouver de leurs sites Web. 

Assurez-vous que les partenaires tiers sont conformes 

Les contrôleurs sont en fin de compte responsables des données personnelles qu’ils collectent, y compris de la manière dont leurs sous-traitants, fournisseurs et autres tiers les utilisent. Si les partenaires ne se conforment pas, les contrôleurs peuvent être pénalisés. 

Les organisations doivent revoir leurs contrats avec tout tiers ayant accès à leurs données. Ces contrats doivent clairement énoncer les droits et responsabilités de toutes les parties en ce qui concerne le RGPD de manière juridiquement contraignante.

Si une organisation travaille avec des sous-traitants en dehors de l'EEE, ces sous-traitants doivent toujours répondre aux exigences du RGPD. En effet, les transferts de données en dehors de l’EEE sont soumis à des normes strictes. Les responsables du traitement dans l'EEE ne peuvent partager des données avec des sous-traitants en dehors de l'EEE que si l'un des critères suivants est rempli :

• La Commission européenne a jugé les lois du pays sur la protection de la vie privée adéquates
• La Commission européenne a estimé que le sous-traitant dispose de protections de données suffisantes
• Le responsable du traitement a pris des mesures pour garantir la protection des données

Une façon de garantir que tous les partenariats et transferts de données sont conformes au RGPD consiste à utiliser des clauses contractuelles types. Ces clauses pré-écrites sont pré-approuvées par la Commission européenne et peuvent être utilisées gratuitement par toute organisation. L’insertion de ces clauses dans un contrat le rend conforme au RGPD, à condition que chaque partie les respecte. Pour plus d’informations sur les clauses contractuelles types, voir le site de la Commission européenne (le lien réside en dehors d'ibm.com).

Créer un processus d'évaluation de l'impact sur la protection des données

Le RGPD exige que les organisations effectuent des analyses d’impact sur la protection des données (DPIA) avant tout traitement à haut risque. Si le RGPD propose quelques exemples (utilisation des nouvelles technologies, traitement à grande échelle de données sensibles), il ne répertorie pas de manière exhaustive toutes les activités à haut risque.

Les organisations peuvent envisager de mener une AIPD avant toute nouvelle opération de traitement pour des raisons de sécurité. D’autres peuvent recourir à une présélection simplifiée pour déterminer si le risque est suffisamment élevé pour justifier une AIPD.

Au minimum, une DPIA doit décrire le traitement et sa finalité, évaluer la nécessité du traitement, évaluer les risques pour les personnes concernées et identifier les mesures d'atténuation. Si le risque reste élevé après atténuation, l’organisation doit consulter une autorité de protection des données avant d’aller de l’avant. 

Découvrez comment IBM Guardium® Insights peut vous aider à rationaliser les rapports de conformité grâce à des flux de travail préconfigurés pour le RGPD, le CCPA et d'autres réglementations clés.

Mettre en œuvre un plan de réponse aux violations de données 

Les organisations doivent déclarer les informations les plus personnelles les violations de données à une autorité de contrôle dans les 72 heures. Si la violation présente un risque pour les personnes concernées, tel qu'un vol d'identité, l'entreprise doit également en informer les personnes concernées. Les notifications doivent être envoyées directement aux victimes, à moins que cela ne soit impossible. Dans ce cas, un avis public suffit.

Les organisations ont besoin d’efficacité réponse à l'incident des plans qui identifient rapidement les violations en cours, éradiquent les menaces et informent les autorités. Les plans de réponse aux incidents doivent inclure des outils et des tactiques pour récupérer les systèmes et restaurer sécurité de l'information. Plus vite une organisation reprend le contrôle, moins elle risque de subir de graves mesures réglementaires.

Les organisations peuvent également profiter de cette occasion pour renforcer la sécurité des données mesures. S'il est peu probable qu'une violation nuise aux utilisateurs (par exemple, si les données volées sont si fortement cryptées que les pirates ne peuvent pas les utiliser), l'entreprise n'a pas besoin d'en informer les personnes concernées. Cela peut aider à éviter les dommages à la réputation et aux revenus qui peuvent résulter d’une violation de données.

Faciliter l’exercice de leurs droits par les personnes concernées 

Le RGPD accorde aux personnes concernées des droits sur la manière dont les organisations utilisent leurs données. Par exemple, le droit de rectification permet aux utilisateurs de corriger des données inexactes ou obsolètes. Le droit à l'effacement permet aux utilisateurs de faire supprimer leurs données.

De manière générale, les organisations doivent se conformer aux demandes des personnes concernées dans un délai de 30 jours. Pour rendre les demandes plus faciles à gérer, les organisations peuvent créer des portails en libre-service où les sujets peuvent accéder à leurs données, apporter des modifications et restreindre leur utilisation. Les portails devraient inclure un moyen de vérifier l'identité des sujets. Le RGPD impose aux organisations la responsabilité de vérifier que les demandeurs sont bien ceux qu’ils prétendent être.

Décisions et profilage automatisés 

Les personnes concernées disposent de droits particuliers concernant le traitement automatisé. Plus précisément, les organisations ne peuvent pas utiliser l'automatisation pour prendre des décisions importantes sans le consentement de l'utilisateur. Les utilisateurs ont le droit de contester les décisions automatisées et de demander qu'un humain réexamine la décision. 

Les organisations peuvent utiliser des portails en libre-service pour donner aux personnes concernées un moyen de contester les décisions automatisées. Les entreprises doivent également être prêtes à nommer des évaluateurs humains si nécessaire. 

la portabilité des données 

Les personnes concernées ont le droit de transférer leurs données où elles le souhaitent, et les organisations doivent faciliter ces transferts. 

En plus de permettre aux utilisateurs de demander facilement des transferts, les organisations doivent stocker les données dans un format partageable. L'utilisation de formats propriétaires peut rendre les transferts difficiles et entraver les droits des utilisateurs. 

Pour une liste complète des droits des personnes concernées, voir la page conformité RGPD.

Déployer des mesures de sécurité des informations

Le RGPD exige que les organisations utilisent des mesures raisonnables de protection des données pour remédier aux vulnérabilités du système et empêcher tout accès non autorisé ou toute utilisation illégale. Le RGPD n'impose pas de mesures spécifiques, mais il précise que les organisations ont besoin de contrôles à la fois techniques et organisationnels.

Les contrôles de sécurité techniques incluent les logiciels, le matériel et d'autres outils technologiques, comme SIEM ainsi que solutions de prévention des pertes de données. Le RGPD encourage fortement le chiffrement et la pseudonymisation. Les organisations peuvent donc souhaiter mettre en œuvre ces contrôles en particulier. 

Les mesures organisationnelles comprennent des processus tels que la formation des employés aux règles du RGPD et la mise en œuvre de procédures formelles. gouvernance des données politiques. 

Le RGPD oblige également les entreprises à adopter le principe de protection des données dès la conception et par défaut. « Dès la conception » signifie que les entreprises doivent intégrer dès le départ la confidentialité des données dans leurs systèmes et processus. « Par défaut » signifie que le paramètre par défaut de tout système doit être celui qui préserve le plus la confidentialité des utilisateurs. 

Découvrez comment les solutions IBM de sécurité et de protection des données sécurisent les données dans les cloud hybrides et simplifient les exigences de conformité.

Pourquoi la conformité au RGPD est importante 

Toute organisation souhaitant opérer dans l’Espace économique européen (EEE) doit se conformer au RGPD. Le non-respect peut avoir de graves conséquences. Les violations les plus importantes peuvent entraîner des amendes allant jusqu'à 20,000,000 4 XNUMX EUR ou XNUMX % du chiffre d'affaires mondial de l'organisation de l'année précédente, le montant le plus élevé étant retenu.

Mais conformité des données il ne s'agit pas seulement d'éviter les conséquences. Cela présente également des avantages. Outre le fait que la conformité au RGPD permet aux organisations d'accéder à l'un des plus grands marchés au monde, les principes du RGPD peuvent renforcer considérablement les mesures de sécurité des données. Les organisations peuvent stopper davantage de violations de données avant qu'elles ne se produisent, évitant ainsi un coût moyen de 4.45 millions de dollars par violation.

La conformité au RGPD peut également renforcer la réputation d'une entreprise et renforcer la confiance des consommateurs. Les gens préfèrent généralement faire affaire avec des organisations qui protéger de manière significative les données des clients.

Le RGPD a inspiré des lois similaires sur la protection des données dans d'autres régions, notamment Loi sur la protection des consommateurs en Californie et la loi indienne sur la protection des données personnelles numériques. Le RGPD est souvent considéré comme l’une des lois les plus strictes. Son respect peut donc permettre aux organisations de se conformer également à d’autres réglementations.

Enfin, si une entreprise enfreint le RGPD, démontrer un certain niveau de conformité peut contribuer à atténuer les répercussions. Les organismes de réglementation pèsent des facteurs tels que l'existant contrôles de cybersécurité et la coopération avec les autorités de contrôle lors de la détermination des sanctions.

Explorez la protection des données IBM Guardium