Le RGPD (Règlement général sur la Protection des données) ou la GDPR (General Data Protection Regulation) est une loi Européenne applicable depuis le 25 mai 2018.
Le but est de remplacer les lois concernant la protection des données personnelles des différents pays membres de l’Europe par une seule.
Plus précisément :
La parution au Journal Officiel de l’Union européenne date du 4 Mai 2016
Article 99 Entrée en vigueur et application
- 1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne. (Donc le 24 Mai 2016)
- 2. Il est applicable à partir du 25 mai 2018.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
En résumé, et en très simplifié, le RGPD vous oblige à :
Article 32 : de protéger vos données personnelles (Informations concernant vos prospects, vos clients, vos fournisseurs, vos salariés, vos patients, ….) de façon physique et logique (ce qui était déjà le cas, Article 34 des lois informatiques & Libertés).
Mais aussi, et je vous laisse lire le texte pour de plus amples renseignements:
- L’obligation de collecter les données personnelles de façon honnête et claire et de pouvoir le démontrer,
- La protection des enfants,
- Le droit à l’oubli ,au portage des informations, et à leur consultation
- Encadrement du profilage
En cas de manquement (liste non exhaustive)
Pour votre ordinateur
- perte ou vol
- crypto virus ou virus tout court qui va récupérer vos données
Mais aussi la tablette et le smartphone
- perte
- vol
- application qui collecte à votre insu vos contacts et les envois sur le web
Mais aussi perte ou vol des média mobiles
- CD, DVD
- Clé USB
- Disque dur externe
Mais aussi les emails- Erreur de pièce jointe ou de destinataire
- L’utilisation de comptes « non propriétaire » ( du genre @gmail.com, @yahoo.com, @laposte.net, …. bref, tout ce qui n’est pas @ma-societe.com). Car si votre compte se fait pirater, le pirate aura accès à vos contacts email et pourra se faire passer pour vous. Et allez démontrer que vous êtres le propriétaire légitime du compte à Google, Microsoft, …
En effet, une personne mal intentionnée pourra faire de l’usurpation d’identité à partir des informations suivantes :
-prénom, nom, adresse postale, courriel, numéro de téléphone
-Eventuellement pour un salarié : n° de Sécurité Sociale, compte bancaire.
Vous devrez :
-Article 33 : Prévenir la CNIL sous 72 heures
-Article 34 : Prévenir les personnes concernées (si vous avez perdus vos données, ce ne sera pas simple si vous n’avez pas prévu de sauvegarde par exemple)
Et vos sous-traitants, qu’ils soient Européens ou non devront respecter le RGPD
(Comptabilité externalisée, Application métier hébergée,…) :
Article 3 Champ d’application territorial
- 1.Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
- 2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées:
- a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
- b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
Article 28 Sous-traitant
1. Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
Les sanctions
–Article 82 et 83 Une sanction allant jusqu’à 4% de votre chiffre d’affaire mondial ou 20 000 000€ pourra être appliquée
Et le point de vue de la CNIL ne sera pas le même entre un ordinateur qui n’est pas entretenu et un autre qui sera à jour au niveau Windows, des produits tiers et de son antivirus.
En effet, selon les articles 83-1,83-2, 83-2-d et 83-5
Article 83 Conditions générales pour imposer des amendes administratives
- 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.
- 2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:
- d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en oeuvre en vertu des articles 25 et 32;
- 5. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:
De même, la sauvegarde de vos données est imposée par :
Article 32 Sécurité du traitement
- 1.Compte tenu de l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
- b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
- c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
Mes suggestions
Mettez en place des solutions efficaces dès maintenant !!!!
Je mets à votre disposition mon expérience en sécurité informatique : Certification CISSP afin de vous aider dans le choix de solutions de:
- Supervision du PC et mise à jour des correctifs Microsoft
- La gestion des mises à jour des produits tiers (Acrobat Reader, java, flash,…)
- Un antivirus qui peut se gérer de façon centralisée
- Sauvegarde de vos données en local et/ou dans le cloud sur des serveurs hébergés en France
- Partage de données dans le cloud sur des serveurs hébergés en France
- Un anti spam / antivirus au niveau de votre messagerie
- Des solutions de chiffrement
En effet, si vous pouvez démontrer que vos données ne sont pas exploitable (disque dur ou clé USB chiffrées par exemple) vous n’aurez pas à prévenir l’utilisateur final (en cas de vol de votre PC ou clé USB par exemple), ce qui pour l’image de la société est un plus.
Article 34 Communication à la personne concernée d’une violation de données à caractère personnel
- 3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:
- a) le responsable du traitement a mis en oeuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;