Aujourd'hui, nous parlerons du «grand et terrible» RGPD (règlement général sur la protection des données) ou du règlement général sur la protection des données personnelles. Bien que la loi ait été adoptée en mai 2018, de nombreuses entreprises ne satisfont toujours pas à toutes ses exigences.
Nous avons rencontré notre DPO (Data Protection Officer) afin de lui dire en termes simples ce qu'est le RGPD, et ce que les entreprises doivent faire pour éviter des amendes importantes.
L'article contient des notes de bas de page citant les définitions de base de la loi.
- Qu'est-ce que le RGPD?
- Le RGPD est une loi internationale ¹ qui s'applique au monde entier, bien qu'elle ait été adoptée dans l'UE. Il s'agit d'une loi qui protège les droits des utilisateurs sur Internet, réglementant, en particulier, le transfert, le traitement, le stockage des données personnelles de chaque personne qui se trouve dans l'UE ou est un citoyen de l'UE.
"Le présent règlement s'applique au traitement des données à caractère personnel dans le cadre des activités d'un établissement de traitement ou de traitement dans l'Union, que le traitement ait lieu ou non dans l'Union."- Même s'il utilise les services / sites d'entreprises en dehors de l'UE?
- Oui, le statut international vous permet d'étendre l'effet de la loi non seulement dans l'UE. Si quelqu'un utilise les ressources à sa disposition depuis le territoire de l'UE ou est citoyen de l'UE, mais se trouve sur le territoire d'autres États, il est toujours soumis à cette loi.
- Quelle était la raison de son adoption?- L'adoption du RGPD a été précédée de nombreux cas d'abus de données, y compris personnels. Les spécialistes du marketing ont commencé à «terroriser» les gens avec divers types de recherches. Ils ont commencé à étudier le comportement et les habitudes d'une personne et à utiliser ces connaissances, la rendant ainsi plus sans défense. Lorsqu'une personne a effectué certaines actions sur le site, les systèmes de recommandation, par exemple, l'ont provoqué à un certain comportement.
Facebook, à un moment donné, a complètement commencé à vendre légalement les données des utilisateurs à des fins de recherche. De plus, toutes les données biométriques étaient protégées, ce qui est très important car les passeports électroniques introduits dans l'UE.
- Que doivent faire les entreprises des pays tiers pour se conformer aux exigences de cette loi?
- Il faut respecter les règles que cette loi définit. Tout d'abord, vous devez informer les utilisateurs de la collecte d'informations. Il s'agit du premier visiteur ressource à rencontrer. L'entreprise doit absolument et clairement (y compris par le biais de solutions de conception) transmettre à l'utilisateur ce qu'il attend de lui, quelles sont ses données collectées et pourquoi il en a besoin. Si, par exemple, des paramètres de poids sont collectés, il est nécessaire d'indiquer pourquoi ils seront utilisés (si leur véritable objectif est d'offrir un médicament pour la perte de poids, il convient de l'écrire).
- Les données doivent-elles être stockées sous forme anonyme?- La loi oblige à anonymiser les données et à les stocker dans différents endroits. Mais le fait est qu'il y a deux rôles principaux ici - processeur ² et contrôleur ³.
Le responsable du traitement est celui qui collecte et utilise ces données, il est obligé de les stocker de manière anonyme et à différents endroits, de sorte que par exemple, les attaquants, ayant accédé à une base de données, ne seraient pas en mesure de comparer ces données avec une personne réelle. Par exemple, votre nom, adresse, numéro de carte bancaire, taille, poids, état civil, etc. Chaque élément doit être stocké dans différentes bases de données. En un seul nom, dans le deuxième état civil, dans la troisième adresse, etc.
Mais chaque entreprise dispose d'algorithmes qui vous permettent de connecter tout cela et de l'utiliser à vos propres fins. Ainsi, fournir un stockage de données est une chose. Mais le traitement - c'est complètement différent. Il devrait y avoir des protocoles d'accès aux données. S'ils ne sont pas là, en cas de fuite, cela sera clarifié par la commission, et si vous n'aviez pas de protocoles, la commission décidera que vous le gardez bien et ne le traitez pas très bien, et ils prendront des mesures.
² «« sous-traitant »: une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement»;
³ «'responsable du traitement': la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel; lorsque les finalités et les moyens d'un tel traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, "
⁴ «« traitement »: toute opération ou ensemble d'opérations qui est effectuée sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit ou non par des moyens automatisés, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, consultation, utilisation, divulgation par transmission, diffusion ou mise à disposition d'une autre manière, alignement ou combinaison, restriction, effacement ou destruction ».
- Comment le processus de traduction d'un site / entreprise existant est-il organisé pour répondre aux exigences de cette loi?
- Tout d'abord, il est nécessaire d'analyser l'état actuel de la collecte et du traitement des données. Par conséquent, si à l'heure actuelle un seul serveur est utilisé, il est nécessaire de le diviser en plusieurs, de sorte qu'il est impossible de pirater toutes les bases de données à partir d'une seule source. La protection doit être à l'entrée des informations et le serveur est constamment surveillé par un logiciel antivirus. Il est conseillé de fournir le deuxième canal avec Internet, afin qu'en cas de fuite sur l'un des canaux, éteignez-le et effectuez des travaux pour éliminer tous les problèmes sur l'autre canal. L'accès ne doit se faire que via une connexion VPN sécurisée. Désormais, tous les principaux navigateurs écrivent des avertissements lorsqu'ils tentent d'accéder à des pages sans https.
Si https est utilisé, tout va bien. Soit dit en passant, Google, qui a longtemps ignoré certaines exigences de cette loi, prend en compte la présence d'un certificat SSL comme l'un des facteurs de classement dans la recherche.
- Qu'est-ce qui menace le non-respect des exigences de cette loi?
- Si nous parlons du résident de l'UE, ce seront bien sûr des sanctions, des ordonnances qui seront émises par les autorités de régulation après l'analyse et l'enquête. En principe, au niveau macro, tout cela est réglementé par une amende élevée de 20 millions d'euros, soit 4% du chiffre d'affaires annuel . La Cour européenne, qui examinera l'affaire, préférerait plutôt 4% du chiffre d'affaires à 20 millions d'euros.
Mais c'est le maximum. Un an s'est écoulé depuis l'entrée en vigueur de la loi et il y a déjà eu des cas pratiques. Dans les cas où la fuite était minime et personne n'a été blessé, les assaillants ont été arrêtés et la société a simplement reçu un avertissement. Si, par négligence, quelque chose n'a pas été fait, ils ont infligé une amende, allant de deux à plusieurs centaines de milliers d'euros. À ce jour, Google a prononcé la plus grosse amende de 50 millions d'euros pour la négligence persistante de certaines exigences de la loi. Particulièrement sévèrement puni pour la perte de données biométriques, par exemple les institutions médicales, cela a été immédiatement prévenu.
- Qui est tenu de se conformer à cette loi et à qui l'action ne s'applique pas?
- Celui qui ne stocke pas de données personnelles ⁵ - les données qui vous permettent d'identifier une personne ou de déterminer sa position, par exemple ip sont également incluses ici, mais pour le moment la commission ne considère pas ip comme données personnelles. Le nom et le numéro de téléphone sont des données personnelles s'ils sont collectés dans le but non seulement de contacter la personne, mais également de les utiliser d'une autre manière. Ne serait-ce que pour la communication, les données n'ont pas la force et les limitations sur les périodes de conservation. ces objectifs n'impliquent pas la vente de biens ou la prévision du comportement des utilisateurs.
Il convient également de rappeler que le courrier, le login ou le mot de passe, séparément, ne sont pas des données personnelles. Seulement spécifiquement les paramètres qui vous permettent de personnaliser une personne ou de déterminer où elle se trouve, par exemple les adresses ip + mac.
Dans l'espace post-soviétique, nous sommes habitués au fait que «si ce n'est pas permis, c'est interdit», au contraire dans les pays libéraux, «ce qui n'est pas interdit est permis». Ce sont deux paradigmes et attitudes complètement différents à l'égard de la loi. Et, par conséquent, la présomption d'innocence est valable ici - jusqu'à preuve du contraire, vous n'êtes pas coupable.
⁵ «« données personnelles »: toute information concernant une personne physique identifiée ou identifiable (« personne concernée »); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à la physique, physiologique, identité génétique, mentale, économique, culturelle ou sociale de cette personne physique »;
- Maintenant, la commission a soumis une autre loi sur la protection des données personnelles, la loi sur les cookies, dites-nous en plus.
- C'est juste la question des adresses IP. Grâce à l'ip, vous pouvez déterminer où se trouve la personne, toute la configuration de l'équipement. Mais en même temps, il est nécessaire de se conformer en quelque sorte à cette loi. Maintenant, l'ip a dépassé le cadre de cette loi . Mais ils ne partent pas, la question reste ouverte, car elle nécessite encore une régulation. Il y avait déjà deux de ses éditions, il y en aura bientôt une troisième. Leur utilisation est excellente pour contrebalancer. La Grande-Bretagne a déjà commencé un mouvement dans cette direction .
Si la loi est adoptée dans la version actuelle, Google et les entreprises similaires ne pourront tout simplement pas travailler dans l'UE. Maintenant, tout le monde fait pression pour atténuer cette loi. Mais cela vaut la peine de rendre hommage à l'UE, ils accordent une grande attention aux citoyens, à leurs citoyens et à leurs résidents, et ils promeuvent cette loi en faveur des citoyens. Alors que la loi n'a pas été adoptée, et n'est même pas dans la dernière phase de lecture. Mais guidé par la pratique, même s'il est accepté en 2019, un à deux ans sont généralement accordés pour mettre toutes les choses en ordre.
Maintenant, toute la question est seulement de savoir dans quelle mesure les entreprises seront autorisées à pénétrer la vie personnelle des gens.
- Quelle est la composition de l'équipe nécessaire pour mettre en œuvre des mesures pour répondre aux exigences de site de cette loi?
- Cela implique généralement un emploi partiel, dans de rares cas, il est nécessaire d'impliquer toute l'équipe à plein temps. L'analyste effectuera un audit de la situation actuelle de l'entreprise et générera des spécifications pour l'exécution. Un administrateur système ou DevOps qui sera responsable du matériel, des canaux de communication et plus, et un programmeur , finaliseront le site.
- Quel sera le résultat du travail de l'équipe et de l'entreprise du client?
- Tout d'abord, le travail avec les données personnelles (traitement) sera modifié: la collecte, le traitement, le stockage seront mis en conformité avec la loi. Avec un degré de probabilité élevé, un nouveau poste apparaîtra dans l'entreprise du client - Data Protection Officer (DPO). Le travail sera effectué sur le site Web de l'entreprise et la documentation disponible pour les utilisateurs (déclaration de sécurité, politique de confidentialité, politique de traitement des cookies, etc.). Des protocoles internes pour l'accès et le traitement des données personnelles des utilisateurs apparaîtront.
Vous pouvez en savoir plus sur le RGPD en cliquant sur le lien: https://www.gdpreu.org/ (la ressource est disponible uniquement en anglais).