Geekly articles weekly

Législation russe et internationale dans le domaine de la protection des données personnelles

Dans la publication précédente , nous avons examiné les concepts de base et le paradigme de la sécurité de l'information, et nous allons maintenant passer à l'analyse de la législation russe et internationale régissant divers aspects de la protection des données, car sans connaissance des rÚgles législatives régissant les domaines pertinents des activités de l'entreprise, il est correct de construire un systÚme de gestion des risques et orienté vers les entreprises la sécurité de l'information est impossible. Les sanctions, ainsi que les atteintes à la réputation dues au non-respect des normes législatives, peuvent apporter une correction importante au fonctionnement de l'organisation et à ses plans de développement: nous savons que, par exemple, le non-respect des normes de protection des informations dans le systÚme de paiement national peut entraßner la révocation d'une licence d'une institution financiÚre et le non-respect des exigences locales la collecte et le traitement primaires des données personnelles peuvent conduire à bloquer l'accÚs au site Web de l'entreprise. Le non-respect des normes de sécurité des infrastructures d'informations critiques en général peut entraßner une peine d'emprisonnement pouvant aller jusqu'à 10 ans. Bien sûr, il existe un grand nombre de lois et de réglementations applicables.Par conséquent, dans cet article et dans les deux suivants, nous nous concentrerons sur la protection des données personnelles, la protection des objets d'infrastructure d'informations critiques et la sécurité des informations des organisations financiÚres.

Alors, dans la série d'aujourd'hui - données personnelles, c'est parti!

image

Tout d'abord, il est nĂ©cessaire de parler du document fondamental qui rĂ©git la procĂ©dure de travail avec diverses informations dans la FĂ©dĂ©ration de Russie, y compris et avec les donnĂ©es personnelles - nous parlons de la loi fĂ©dĂ©rale n ° 149 "sur l'information, les technologies de l'information et la protection de l'information" du 27/07/2006. Ce document contient les concepts et dĂ©finitions de base qui sont utilisĂ©s dans tous les actes juridiques rĂ©glementaires liĂ©s Ă  la protection des informations, et prĂ©sente Ă©galement, entre autres, le concept de la catĂ©gorie d'informations (informations publiques et informations Ă  diffusion limitĂ©e) et le type d'informations (diffusĂ©es librement, fournies sur la base de accord, soumis Ă  une distribution conformĂ©ment Ă  la loi, informations d'accĂšs / distribution limitĂ©s et interdits de distribution). En particulier, les donnĂ©es personnelles sont classĂ©es comme des informations restreintes, et conformĂ©ment Ă  l'article 9, paragraphe 2 de la prĂ©sente loi, la confidentialitĂ© de ces informations est obligatoire, Ă  la suite de laquelle l'État Ă©tablit des rĂšgles obligatoires et des rĂšgles pour leur traitement. Malheureusement, pas avec tous les types d'informations Ă  diffusion limitĂ©e, il existe une certitude similaire - par exemple, Ă  ce jour, il n'y a pas de classification lĂ©gislative des types de secrets, seuls quelques-uns d'entre eux peuvent ĂȘtre distinguĂ©s: État, commercial, fiscal, bancaire, audit, mĂ©dical, notaire, secret de l'avocat, secret communications, enquĂȘtes, procĂ©dures judiciaires, informations privilĂ©giĂ©es, etc. En plus des informations Ă  diffusion limitĂ©e, dans 149- (article 8, article 4), il existe Ă©galement un classificateur de types d'informations, dont l'accĂšs, au contraire, ne peut pas ĂȘtre limitĂ© - par exemple, les actes juridiques rĂ©glementaires, les informations sur les activitĂ©s des organes de l'État, l'Ă©tat de l'environnement, etc. .d.

Normes russes pour la protection des données personnelles


En ce qui concerne l'examen des questions de protection des données personnelles, il convient de noter qu'elles sont restées invariablement vives au cours des derniÚres années et ont augmenté dans les plus hautes fonctions en Russie et à l'étranger, car elles concernent chacun de nous, indépendamment de la nationalité ou de la position.

La sĂ©curitĂ© des donnĂ©es personnelles, dans l'interprĂ©tation Ă©trangĂšre de la vie privĂ©e, est enracinĂ©e dans la garantie des droits et libertĂ©s inaliĂ©nables des citoyens des pays dĂ©veloppĂ©s - par exemple, dans certains pays europĂ©ens, la question de l'indication du nom et du prĂ©nom des personnes vivant Ă  proximitĂ© des boĂźtes aux lettres et des sonnettes Ă©tait assez controversĂ©e. Avec l'avĂšnement des technologies de l'information, la protection des donnĂ©es personnelles est devenue encore plus pertinente. C'est ainsi qu'est apparue la «Convention n ° 108 du Conseil de l'Europe sur la protection des personnes avec traitement automatisĂ© des donnĂ©es personnelles», signĂ©e en 1981 et ratifiĂ©e par la FĂ©dĂ©ration de Russie en 2001. DĂ©jĂ  Ă  cette Ă©poque, il jetait les bases internationales du traitement lĂ©gitime des donnĂ©es personnelles, qui sont toujours applicables aujourd'hui: l'utilisation des donnĂ©es personnelles uniquement Ă  certaines fins et dans certaines pĂ©riodes, la redondance et la pertinence des donnĂ©es personnelles traitĂ©es et les particularitĂ©s de leur transfert transfrontalier, la protection des donnĂ©es garantie droits d'un citoyen - dĂ©tenteur de donnĂ©es personnelles. Dans le mĂȘme document, la dĂ©finition mĂȘme des donnĂ©es personnelles est donnĂ©e, qui «migre» ensuite vers la premiĂšre Ă©dition de la loi fĂ©dĂ©rale nationale n ° 152 sur les donnĂ©es personnelles du 27 juillet 2006: «donnĂ©es personnelles» dĂ©signe toute information concernant une personne physique spĂ©cifique ou identifiable. L'objectif de la ratification de cette convention Ă©tait de se conformer aux exigences rĂ©glementaires internationales lors de l'entrĂ©e de la Russie Ă  l'OMC (Organisation mondiale du commerce), qui a eu lieu en 2012.

Le travail conjoint des pays parties à la Convention se poursuit à ce jour. Ainsi, fin 2018, la Fédération de Russie et les autres pays participants ont signé le « Protocole n ° 223 sur les amendements à la Convention du Conseil de l'Europe sur la protection des données à caractÚre personnel», qui actualise la Convention en fonction des défis actuels: protection des données biométriques et génétiques, nouveaux droits les individus dans le cadre de la prise de décision algorithmique par l'intelligence artificielle, les exigences de protection des données déjà au stade de la conception des systÚmes d'information, l'obligation d'informer le supérieur hiérarchique autorisé gan sur les fuites de données. Les citoyens ont désormais la possibilité de bénéficier d'une protection qualifiée de leurs données personnelles par le superviseur, et les entreprises russes contraintes de se conformer aux exigences du RGPD européen (RÚglement général sur la protection des données, nous en parlerons plus tard) ne seront pas obligées d'appliquer des mesures de protection supplémentaires, car Le respect des dispositions de la Convention signifie que le pays partie fournit un régime juridique adéquat pour le traitement des données personnelles.

Ainsi, en 2006, 152- «Sur les donnĂ©es personnelles» a Ă©tĂ© adoptĂ©, qui a non seulement rĂ©pĂ©tĂ© largement les exigences de la Convention, mais a Ă©galement introduit des dĂ©finitions et des exigences supplĂ©mentaires concernant le traitement des donnĂ©es personnelles (ci-aprĂšs - PD). Au fil du temps, la loi fĂ©dĂ©rale a Ă©tĂ© modifiĂ©e, dont les principales ont Ă©tĂ© introduites 261- du 25/07/2011 et 242- du 21/07/2014. La premiĂšre loi a apportĂ© des modifications importantes aux postulats de base de la protection contre les DP, et la seconde a interdit le traitement primaire des PD en dehors du territoire de la FĂ©dĂ©ration de Russie. Veuillez noter que l'organisme d'État autorisĂ© Ă  protĂ©ger les droits des sujets PD est le Service fĂ©dĂ©ral de surveillance des communications, des technologies de l'information et des communications de masse (Roskomnadzor), qui relĂšve du ministĂšre du DĂ©veloppement numĂ©rique, des tĂ©lĂ©communications et des communications de masse de la FĂ©dĂ©ration de Russie.

À l'article 152-FZ, les mesures visant Ă  garantir la sĂ©curitĂ© des donnĂ©es personnelles sont traitĂ©es Ă  l'article 19, qui stipule Ă©galement que les opĂ©rateurs doivent garantir les niveaux de sĂ©curitĂ© Ă©tablis par la dĂ©cision gouvernementale n ° 1119 du 1er novembre 2012, qui sont compris comme un ensemble d'exigences qui neutralisent certaines menaces pour la sĂ©curitĂ©. Pour simuler ces menaces, c'est-Ă -dire pour construire un modĂšle de menace (ci-aprĂšs - MU) et un modĂšle de contrevenant, il faut s'appuyer sur les actes juridiques rĂ©glementaires suivants:


En outre, le FSTEC de Russie a dĂ©veloppĂ© en 2015 le projet «MĂ©thodes d'identification des menaces Ă  la sĂ©curitĂ© de l'information dans les systĂšmes d'information», qui, aprĂšs son approbation, pourra guider Ă  la fois les opĂ©rateurs de systĂšmes d'information de l'État et les entreprises privĂ©es. Il convient de noter que les systĂšmes d'information des États (ci-aprĂšs dĂ©nommĂ©s GOSIS) sont dĂ©finis dans 149-FZ (article 13, article 1) comme des systĂšmes d'information fĂ©dĂ©raux et des systĂšmes d'information rĂ©gionaux crĂ©Ă©s sur la base des lois fĂ©dĂ©rales, des lois des entitĂ©s constitutives de la FĂ©dĂ©ration de Russie et des actes juridiques les organes de l'Etat afin d'exercer les pouvoirs des organes de l'Etat et d'assurer l'Ă©change d'informations entre ces organes, ainsi qu'Ă  d'autres fins Ă©tablies par les lois fĂ©dĂ©rales.

L'article 5 de la 152-FZ parle de l'obligation des organismes publics de développer des UG spécifiques à l'industrie dans leur domaine de responsabilité. Ces UG ont été développées, par exemple, à la Banque centrale de la Fédération de Russie (d'abord sous la forme de RS BR IBBS-2.4, puis sous la forme de l' ordonnance de la Banque de Russie n ° 389-U ), au MinistÚre des télécommunications et des communications de masse de la Fédération de Russie (« ModÚle de menaces et d'atteinte à la sécurité des données personnelles traitées en standard ISPD de l'industrie »et« ModÚle de menaces et contrevenant à la sécurité PDN traité dans un ISPD spécial de l'industrie »), par le ministÚre de la Santé de la Fédération de Russie (« Le modÚle de menace d'une PI médicale typique d'une institution médicale typique »).

Dans 152-, l'obligation d'assurer la sĂ©curitĂ© des donnĂ©es personnelles est attribuĂ©e Ă  l'opĂ©rateur du systĂšme d'information personnel (ci-aprĂšs - ISPD) ou Ă  la personne qui traite les donnĂ©es personnelles pour le compte de l'opĂ©rateur (ce que l'on appelle le "processeur"). PP-1119 fournit des mesures de protection organisationnelles et techniques spĂ©cifiques qui doivent ĂȘtre prises par l'opĂ©rateur (ou le processeur) pour assurer le niveau de sĂ©curitĂ© appropriĂ© pour la DP, tandis que le choix du niveau dĂ©pend de la catĂ©gorie de PD traitĂ©e (c.-Ă -d., Type ISPD), de la catĂ©gorie et du nombre de sujets de PD et le type de menaces rĂ©elles.

Les catĂ©gories de DP peuvent ĂȘtre spĂ©ciales (traitement des informations sur les aspects critiques de la vie du sujet de DP, tels que l'Ă©tat de santĂ©, l'appartenance nationale / raciale, les croyances politiques et religieuses), biomĂ©triques (traitement de PD, caractĂ©risation des caractĂ©ristiques physiologiques et biologiques), publiques (la DP est obtenue de sources publiques ), autre.

Les menaces rĂ©elles peuvent ĂȘtre du 1er type (les menaces d'utilisation de capacitĂ©s non dĂ©clarĂ©es dans les logiciels systĂšme sont pertinentes pour l'ISPD), du 2Ăšme type (les menaces d'utilisation des capacitĂ©s non dĂ©clarĂ©es dans les logiciels d'application sont pertinentes), du 3Ăšme type (les menaces ci-dessus ne sont pas pertinentes).

Le choix du niveau de sécurité (ci-aprÚs - KM) des données personnelles dépend des caractéristiques ci-dessus des ISPDn (catégories de PD traitées et du type de menaces pertinentes pour ISPD), ainsi que de la catégorie des entités (employés de l'opérateur ou autres personnes) et du nombre d'entités dont les PDN sont traités (plus ou moins de 100 000 entrées). L'échographie maximale est le 1er, le minimum est le 4e.

Le PP-1119 propose une liste assez concise de mesures de protection contre les DP, puisque les mesures de sĂ©curitĂ© dĂ©taillĂ©es sont dĂ©terminĂ©es par le FSTEC de Russie: l' arrĂȘtĂ© n ° 21 du 18/02/2013 approuve la composition et le contenu des mesures organisationnelles et techniques pour assurer la sĂ©curitĂ© des DP, et l' arrĂȘtĂ© n ° 17 du 02/11/2013 rĂ©glemente les exigences pour la protection des informations Ă  l'Institut d'État de l'information de l'État, y compris la protection des donnĂ©es personnelles en leur sein. En outre, le Service fĂ©dĂ©ral de sĂ©curitĂ© de la FĂ©dĂ©ration de Russie a Ă©galement publiĂ© l' ordonnance n ° 378 du 10 juillet 2014, qui contient une description des mesures de sĂ©curitĂ© PD lors de l'utilisation d'outils de protection des informations cryptographiques (ci-aprĂšs - CIP).

ConsidĂ©rons d'abord la commande n ° 21 . Ce document est dĂ©diĂ© aux mesures de protection PD pour IP non Ă©tatique et contient une liste de mesures spĂ©cifiques pour assurer l'un ou l'autre KP PD. Dans la clause 4, les opĂ©rateurs de propriĂ©tĂ© intellectuelle non Ă©tatiques bĂ©nĂ©ficient d'une exemption sous la forme d'une autorisation de ne pas utiliser de SIS certifiĂ© en l'absence de menaces rĂ©elles qu'ils ferment, et la clause 6 du document fixe un intervalle de trois ans pour Ă©valuer l'efficacitĂ© des mesures mises en Ɠuvre. L'ordonnance n ° 21, ainsi que l'ordonnance n ° 17, proposent le mĂȘme algorithme de sĂ©lection et d'application des mesures de sĂ©curitĂ©: d'abord, les mesures de base sont sĂ©lectionnĂ©es sur la base des dispositions de l'arrĂȘtĂ© concernĂ©, puis l'ensemble de mesures de base sĂ©lectionnĂ© est adaptĂ©, Ă  l'exclusion des mesures «de base» non pertinentes selon des caractĂ©ristiques des systĂšmes d'information et des technologies utilisĂ©es. Ensuite, l'ensemble de mesures de base adaptĂ© est spĂ©cifiĂ© pour neutraliser les menaces actuelles avec des mesures prĂ©cĂ©demment non sĂ©lectionnĂ©es, et enfin, l'ensemble de base adaptĂ© mis Ă  jour est complĂ©tĂ© par des mesures Ă©tablies par d'autres documents juridiques rĂ©glementaires applicables.

L'arrĂȘtĂ© n ° 21 de l'article 10 contient une remarque importante sur la capacitĂ© de l'opĂ©rateur Ă  appliquer des mesures compensatoires lorsqu'il est impossible de mettre en Ɠuvre des mesures techniques ou s'il n'est pas Ă©conomiquement faisable d'appliquer des mesures de l'ensemble de base, ce qui donne une certaine flexibilitĂ© lors du choix de nouvelles et justifie l'utilisation d'Ă©quipements de protection dĂ©jĂ  mis en Ɠuvre afin d'assurer la sĂ©curitĂ© des donnĂ©es personnelles. Si l'exploitant utilise un SZI certifiĂ©, le rĂ©gulateur de l'article 12 de l'ordonnance impose des exigences pour les classes de SZI utilisĂ©s et pour le matĂ©riel informatique (ci-aprĂšs - CBT).

Pare-feu certifiĂ©s, systĂšmes de dĂ©tection d'intrusion, outils de protection anti-virus, outils de dĂ©marrage fiables, outils de contrĂŽle des supports de machines amovibles, systĂšmes d'exploitation conformes aux classificateurs FSTEC rĂ©cemment introduits (2011-2016) de la Russie peuvent avoir des classes de 1 (niveau de support maximal protection) Ă  6 (niveau minimum). Le CBT peut ĂȘtre classĂ© Ă  sept niveaux conformĂ©ment au document d'orientation du FSTEC Russie. Des exigences sont Ă©galement imposĂ©es pour contrĂŽler l'absence de capacitĂ©s non dĂ©clarĂ©es dans le logiciel SZI - il existe quatre niveaux de contrĂŽle. La liste actuelle des SIS certifiĂ©s figure dans le registre national des outils de sĂ©curitĂ© des informations certifiĂ©s.

Dans l'ordonnance n ° 21, les groupes de mesures suivants pour garantir la sĂ©curitĂ© des PD sont indiquĂ©s, qui devraient ĂȘtre appliquĂ©s en fonction du niveau de protection requis des PD:

‱ Identification et authentification des sujets d'accùs et des objets d'accùs
‱ ContrĂŽle d'accĂšs des sujets d'accĂšs pour accĂ©der aux objets
‱ Limiter l'environnement logiciel
‱ Protection des porte-machines PD
‱ Journalisation des Ă©vĂ©nements de sĂ©curitĂ©
‱ Protection antivirus
‱ DĂ©tection d'intrusion
‱ Surveillance (analyse) de la sĂ©curitĂ© PD
‱ Assurer l'intĂ©gritĂ© de IP et PD
‱ Assurer la disponibilitĂ© de PD
‱ Protection des environnements de virtualisation
‱ Protection des moyens techniques
‱ Protection de la propriĂ©tĂ© intellectuelle, de ses moyens, des systĂšmes de communication et de la transmission de donnĂ©es
‱ DĂ©tection et rĂ©ponse aux incidents
‱ Gestion de la configuration des systùmes de protection IS et PD.

L'ordonnance n ° 17 Ă©tablit les conditions requises pour garantir la sĂ©curitĂ© des informations d'accĂšs limitĂ© au GISIS, tandis que le paragraphe 5 souligne que lors du traitement des PD dans le GOSIS, le PP-1119 doit ĂȘtre suivi. L'ordonnance oblige les opĂ©rateurs GOSIS Ă  utiliser uniquement des SZI certifiĂ©s et Ă  recevoir un certificat de conformitĂ© de cinq ans aux exigences de protection des informations. Ce document suppose que les opĂ©rateurs prennent les mesures suivantes pour assurer la protection des informations (ci-aprĂšs - ZI): formation des exigences pour ZI; dĂ©veloppement, mise en Ɠuvre et certification du systĂšme IP IP; fournir ZI pendant le fonctionnement et pendant le dĂ©classement. L'article 14.3 de l'ordonnance parle de la nĂ©cessitĂ© de crĂ©er un modĂšle de menace et suggĂšre d'utiliser la FSTEC Russia Data Security Threat Data Bank ( BDU ), dont nous avons parlĂ© dans une publication prĂ©cĂ©dente . Pour GOSIS, une classe de sĂ©curitĂ© est Ă©tablie (du 1er au maximum au 3e minimum), qui dĂ©pend du niveau de signification des informations traitĂ©es et de l'Ă©chelle du systĂšme, oĂč le niveau de signification dĂ©pend du degrĂ© d'endommagement possible des propriĂ©tĂ©s de sĂ©curitĂ© (confidentialitĂ©, intĂ©gritĂ©, disponibilitĂ©) des informations traitĂ©es dans le GISIS , et l'Ă©chelle du systĂšme peut ĂȘtre fĂ©dĂ©rale, rĂ©gionale ou objet.

Dans le GISIS de la 1Ăšre classe de protection, la protection doit ĂȘtre assurĂ©e contre les actions des contrevenants Ă  haut potentiel, dans le GISIS de la 2e classe - contre les contrevenants avec un potentiel non infĂ©rieur Ă  la base renforcĂ©e (dans le NOS, leur potentiel est appelĂ© "moyen", et dans le projet de mĂ©thodologie pour dĂ©terminer les menaces Ă  la sĂ©curitĂ©). informations en SI - «base augmentĂ©e»), en GISIS 3e classe - provenant d'intrus dont le potentiel n'est pas infĂ©rieur Ă  la base (dans la NLD, ce potentiel est appelĂ© «faible»). Étant donnĂ© que pour garantir l'IS dans le GosIS, il est autorisĂ© d'utiliser uniquement des SZI certifiĂ©s, le paragraphe 26 de l'ordonnance n ° 17 dĂ©crit les classes acceptables de SZI, SVT et les niveaux de contrĂŽle de l'absence de NDV, selon la classe de GISIS. Dans la clause 27, une connexion est Ă©tablie entre la classe de sĂ©curitĂ© GISIS et les niveaux de sĂ©curitĂ© de PD traitĂ©s dans celle-ci: la conformitĂ© aux exigences des mesures ZI pour GISIS de 1Ăšre classe est assurĂ©e par 1, 2, 3 et 4 niveaux de sĂ©curitĂ© de PD, pour la 2e classe - 2, 3 et 4 Ă©chographies, pour la 3e classe - Ă©chographies 3 et 4.

Les mesures de sĂ©curitĂ© de l'information au niveau du systĂšme d'information de l'État coĂŻncident presque complĂštement avec les mesures de l'ordonnance n ° 21 dĂ©crites ci-dessus, sauf en l'absence d'indications de dĂ©tection d'incident et de gestion de la configuration.Ces actions sont rĂ©alisĂ©es aprĂšs la construction du systĂšme de sĂ©curitĂ©, au stade de l'exploitation du systĂšme d'information d'État certifiĂ©, ainsi que la gestion du systĂšme de sĂ©curitĂ© de l'information et le contrĂŽle de la garantie du niveau de sĂ©curitĂ© de l'information dans le systĂšme d'information d'État.

En plus de l'ordonnance n ° 17, lors de la mise en Ɠuvre des mesures ZI appropriĂ©es, on peut Ă©galement ĂȘtre guidĂ© par le document mĂ©thodologique du FSTEC de Russie « Mesures de protection de l'information dans les systĂšmes d'information de l'État», qui dĂ©taille la composition et le contenu de toutes les mesures.

Ordonnance n ° 378 du Service fĂ©dĂ©ral de sĂ©curitĂ© de la FĂ©dĂ©ration de RussieĂ©tablit des normes pour l'utilisation de l'une des six classes de systĂšmes de protection des informations cryptographiques pour la protection des donnĂ©es personnelles: KS1 (minimum), KS2, KS3, KV1, KV2, KA1 (maximum). La classe de protection des informations cryptographiques est sĂ©lectionnĂ©e en fonction du niveau de sĂ©curitĂ© requis de PD et du type de menaces rĂ©elles. MalgrĂ© le fait que les classes de protection des informations cryptographiques neutralisent les menaces provenant d'un certain type d'intrus avec un certain niveau de potentiel (il n'y a que 6 types de contrevenants, de H1 Ă  H6, ils sont dĂ©finis dans le modĂšle du contrevenant), cet arrĂȘtĂ© lie la classe de protection des informations cryptographiques au niveau de sĂ©curitĂ© des donnĂ©es personnelles , et non aux possibilitĂ©s des attaquants. En plus de dĂ©crire les classes requises de protection des informations cryptographiques, ce document contient des exigences administratives pour l'opĂ©rateur, telles que l'organisation de l'accĂšs aux locaux (sĂ©curitĂ© physique - installation de serrures, barres), la sĂ©curitĂ© des supports PD, l'approbation de la liste des personnes,qui ont accĂšs Ă  PD.

Normes internationales pour la protection des données personnelles


Si en Russie les litiges concernant l'application de la 152- et les rĂšglements pertinents ne cessent pas, alors dans l'Union europĂ©enne, les 3 derniĂšres annĂ©es ont travaillĂ© Ă  la mise en Ɠuvre et au respect du RGPD ( RĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es , RĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es ). Ce document, depuis son adoption en avril 2016 jusqu'Ă  la date d'entrĂ©e en vigueur le 25 mai 2018, ainsi qu'Ă  l'heure actuelle, soulĂšve de nombreuses questions et contestations, car il concerne un grand nombre de citoyens et d'entreprises Ă  travers le monde.

Le prédécesseur du RGPD dans l'Union européenne était la Directive du Parlement européen et du Conseil de l'Union européenne 95/46 / CE du 24 octobre 1995 «Sur la protection des personnes physiques dans le traitement des données personnelles et sur la libre circulation de ces données». AprÚs l'adoption du RGPD, les droits des sujets PD se sont considérablement étendus, et les obligations des opérateurs et les sanctions en cas de non-respect ont considérablement augmenté.

La dĂ©finition de la PD dans le RGPD lui-mĂȘme ne diffĂšre pas beaucoup de ce qui a Ă©tĂ© adoptĂ© dans la Convention du Conseil de l'Europe et d'une dĂ©finition similaire dans le 152-FZ national: les donnĂ©es personnelles dans le cadre du RGPD signifient toute information relative Ă  une personne identifiĂ©e ou identifiable (personne concernĂ©e). Personne identifiable dĂ©signe une personne qui peut ĂȘtre identifiĂ©e, directement ou indirectement, en particulier Ă  l'aide d'identifiants tels que le nom, le numĂ©ro d'identification, les donnĂ©es de localisation, l'identifiant en ligne ou en utilisant un ou plusieurs facteurs spĂ©cifiques aux caractĂ©ristiques physiques, physiologiques, le statut gĂ©nĂ©tique, mental, Ă©conomique, culturel ou social de cette personne. Ainsi, la dĂ©finition de PD comprend non seulement les caractĂ©ristiques habituelles, mais aussi l'adresse IP,identifiants de cookies dĂ©finis par l'utilisateur, donnĂ©es de gĂ©olocalisation de l'utilisateur et autres attributs techniques.

Un nouveau terme important dans le RGPD est le «profilage», c'est-Ă -dire toute forme de traitement automatisĂ© de donnĂ©es personnelles afin d'Ă©valuer certains aspects d'une personne, en particulier pour analyser ou prĂ©dire la capacitĂ© de travail d'une personne, sa situation matĂ©rielle, sa santĂ©, ses prĂ©fĂ©rences personnelles, ses intĂ©rĂȘts , comportement, emplacement ou mouvement.

Comme dans 152-FZ, le RGPD utilise des concepts tels que «traitement des données personnelles», «processeur», «opérateur» (contrÎleur anglais), «traitement transfrontalier», «pseudonymisation» (dépersonnalisation) et des termes universels similaires.

Le champ d'application des rĂšgles du RGPD s'applique Ă  tous les opĂ©rateurs qui traitent les donnĂ©es personnelles des citoyens de l'UE et d'autres citoyens situĂ©s dans l'UE. En outre, l'opĂ©rateur peut ne pas avoir de bureau de reprĂ©sentation dans l'UE et ses systĂšmes automatisĂ©s peuvent Ă©galement ĂȘtre situĂ©s en dehors de l'UE. Exemples concernant des opĂ©rateurs de la FĂ©dĂ©ration de Russie:

  • une banque russe doit se conformer aux normes GDPR lors du traitement des donnĂ©es de ses clients, citoyens de la FĂ©dĂ©ration de Russie, lorsqu'ils sont dans l'UE;
  • une boutique en ligne avec enregistrement dans la FĂ©dĂ©ration de Russie qui fournit des services / produits, y compris aux citoyens de l'UE, utilise des identifiants de cookies et / ou des analyses de comportement des utilisateurs sur son site Web avec une interface dans les langues de l'UE, est Ă©galement soumise aux normes du RGPD;
  • une filiale d'une sociĂ©tĂ© russe opĂ©rant dans l'UE.

Les normes GDPR sont basées sur six principes de base:

  • , — , (.. privacy policy);
  • — , , ;
  • — , ;
  • — , ;
  • — ;
  • — , , , , , .

Le document ne fournit pas aux opérateurs des instructions de protection détaillées, leur laissant la liberté de choisir les mesures et les techniques. Par exemple, vous devez, si possible, crypter PD pendant le stockage, la transmission et le traitement, ainsi qu'utiliser des algorithmes de pseudonymisation. Cela devrait réduire les dommages potentiels en cas de fuite, mais le RGPD ne prévoit pas de conditions spécifiques pour l'application de ces mesures de protection. En cela, l'approche européenne diffÚre de l'approche russe, dans laquelle les autorités étatiques réglementent clairement les mesures de protection et les conditions de leur application, n'espérant pas la prudence des opérateurs - et, il faut le regretter, elle est trÚs justifiée.

En plus des principes décrits ci-dessus, les normes suivantes sont également présentes dans le RGPD:

  • , , , .. , , , ( );
  • (.. Data Protection Impact Assessment);
  • - , , , ;
  • (privacy by design, .. ) (privacy by default, .. );
  • — , ;
  • (Data Privacy Officer) , :

    • / ( , , , , , , );
  • 72- (supervisory authority, Data Protection Authority — ) GDPR- , .. , , , .


En juillet 2016, l'accord de protection de la vie privĂ©e EU-US Privacy Shield a Ă©tĂ© introduit . Cet accord est un cadre qui dĂ©finit les approches des entreprises commerciales pour un Ă©change sĂ©curisĂ© de donnĂ©es personnelles entre l'Union europĂ©enne et l'AmĂ©rique du Nord. L'objectif d'un tel accord est de mettre en conformitĂ© les normes du RGPD pour la protection des PD dans l'UE et les mĂ©thodes pour assurer leur sĂ©curitĂ© aux États-Unis. Le prĂ©dĂ©cesseur de ce cadre Ă©tait l'accord sur les principes de confidentialitĂ© de Safe Harbor .(«Safe Harbor Principles for the Protection of Personal Data»), qui Ă©tait en vigueur de 2000 Ă  2015 et a confirmĂ© que les mĂ©thodes pour assurer la sĂ©curitĂ© des donnĂ©es personnelles aux États-Unis sont conformes Ă  la Directive europĂ©enne 95/46 / CE «Sur la protection des personnes dans le traitement des donnĂ©es personnelles et sur la gratuitĂ© traitement de ces donnĂ©es. " L'accord spĂ©cifiĂ© a Ă©tĂ© critiquĂ© en raison des faits rĂ©vĂ©lĂ©s d'un accĂšs permanent et dĂ©libĂ©rĂ© Ă  la DP aux citoyens europĂ©ens par le gouvernement amĂ©ricain, en particulier la National Security Agency. Cela a Ă©tĂ© considĂ©rĂ© par la Cour europĂ©enne, qui a statuĂ© en Octobre ici Ă  2015 la dĂ©cisionl'invaliditĂ© des principes de la sphĂšre de sĂ©curitĂ©. Ainsi, Ă  l'heure actuelle, les entreprises amĂ©ricaines souhaitant traiter des donnĂ©es personnelles de citoyens de l'UE doivent se conformer au bouclier de protection des donnĂ©es UE-États-Unis. La confirmation de la conformitĂ© est effectuĂ©e sous la forme d'une auto-certification volontaire auprĂšs du dĂ©partement amĂ©ricain du Commerce. L'entreprise exploitante doit se conformer aux exigences de base suivantes , confirmant le niveau de protection adĂ©quat de sa DP pour les citoyens de l'UE:

  • informer les sujets sur le traitement de leurs donnĂ©es personnelles, ce qui comprend une indication de la protection des donnĂ©es personnelles conformĂ©ment au bouclier de protection des donnĂ©es dans la politique de l'entreprise pour la protection des donnĂ©es personnelles (Politique de confidentialitĂ©), la notification des donnĂ©es personnelles de leurs droits et un rappel des obligations de l'entreprise elle-mĂȘme en cas de rĂ©ception d'une demande lĂ©gitime de fourniture de DP par les autoritĂ©s de l'État;
  • , 45 , , , Data Protection Authorities ( );
  • , Privacy Shield;
  • , ;
  • , :

    1. , , — (.. Notice and Choice Principles), ( , , );
    2. , , .. , — , , , — ;
  • Privacy Shield;
  • , Privacy Shield.
  • , , Privacy Shield, , , 152-.


1. Les amendes infligées pour violation de la législation russe sur la protection des données personnelles sont régies par l'art. 13.11 Code administratif, qui prévoit sept infractions introduites en juillet 2017. Par exemple, la partie 1 de l'article 13.11 du Code administratif de la Fédération de Russie punit les opérateurs pour le traitement de données à caractÚre personnel dans des cas non prévus par la loi, ou pour des traitements incompatibles avec le but de la collecte de données à caractÚre personnel, à hauteur de 50 000 roubles. Partie 2 de l'art. 13.11 du Code administratif de la Fédération de Russie prévoit une sanction pour le traitement de PD sans le consentement du sujet ou pour des violations dans le processus d'obtention de ce consentement, d'un montant pouvant aller jusqu'à 75 mille roubles. En outre, le non-respect des rÚgles relatives à la localisation des bases de données PD sur le territoire de la Fédération de Russie constitue une violation de l'article 1242-FZ et de l'article 15.5 de 149-FZ, qui menace de bloquer l'accÚs à la ressource Web de l'entreprise contrevenante sur la base d'une décision de justice.

Il convient de garder Ă  l'esprit qu'une amende peut ĂȘtre infligĂ©e pour chaque fait de violation des normes lĂ©gislatives. En outre, un projet de loi a rĂ©cemment Ă©tĂ© soumis Ă  la Douma d'État , qui implique l'introduction de deux nouvelles infractions dans le domaine de la protection contre la MP - les dĂ©putĂ©s proposent d'imposer des millions d'amendes pour non-respect de la 242-FZ, Ă  savoir pour avoir refusĂ© de localiser les bases de donnĂ©es PD des Russes sur le territoire de la FĂ©dĂ©ration de Russie, ainsi que pour des violations rĂ©pĂ©tĂ©es des exigences de localisation.

2. Les amendes infligĂ©es par les rĂ©gulateurs europĂ©ens pour non-respect du RGPD en cas de violations mineures s'Ă©lĂšvent Ă  10 millions d'euros ou 2% du chiffre d'affaires annuel global de la sociĂ©tĂ©, et dans le cas de violations importantes, jusqu'Ă  20 millions d'euros ou 4% du chiffre d'affaires annuel global. Dans le mĂȘme temps, des statistiques dĂ©cevantes ont dĂ©jĂ  Ă©tĂ© rĂ©sumĂ©es sur l'annĂ©e d'exigences du RGPD: plus de 200 000 contrĂŽles ont Ă©tĂ© effectuĂ©s contre les opĂ©rateurs, et le montant total des amendes est supĂ©rieur Ă  56 millions d'euros, tandis que 50 millions d'euros sont la somme de l'amende infligĂ©e par le gĂ©ant de l'Internet de Google par le rĂ©gulateur français zones de protection

3. Les amendes infligĂ©es par la Federal Trade Commission des États-Unis aux entreprises qui ne respectent pas les principes du bouclier de protection des donnĂ©es s'Ă©lĂšvent Ă  40 000 dollars pour une violation, plus 40 000 dollars pour chaque jour suivant de traitement illĂ©gal de donnĂ©es personnelles aprĂšs la dĂ©couverte de violations.

Procédure d'inspection par Roskomnadzor


Roskomnadzor, l'organisme national autorisĂ© par l'État pour la protection des droits des sujets PD, a le droit d'inspecter les entitĂ©s juridiques et les entrepreneurs individuels pour vĂ©rifier leur conformitĂ© avec les dispositions de la lĂ©gislation russe dans le domaine de la protection PD. Dans le mĂȘme temps, les inspections sont effectuĂ©es Ă  la fois par le bureau central (le plan d'inspection et les rapports d'activitĂ© sont publiĂ©s sur le site officiel ) et par les dĂ©partements des districts fĂ©dĂ©raux (par exemple, le site Web du district fĂ©dĂ©ral central de Roskomnadzor a publiĂ© des plans d'activitĂ© et des rapports pour les 10 derniĂšres annĂ©es). Les inspections de Roskomnadzor sont rĂ©glementĂ©es par le dĂ©cret n ° 144 du gouvernement de la FĂ©dĂ©ration de Russiedu 13 fĂ©vrier 2019 «Sur l'approbation des rĂšgles d'organisation et de mise en Ɠuvre du contrĂŽle et de la surveillance par l'État du traitement des donnĂ©es personnelles». ConformĂ©ment Ă  cette rĂ©solution, les inspections sont Ă  la fois programmĂ©es (la pratique a montrĂ© que le rĂ©gulateur vĂ©rifie les groupes de sociĂ©tĂ©s unis par un attribut commun, par exemple par domaine d'activitĂ©), ainsi que non planifiĂ©es: elles peuvent ĂȘtre effectuĂ©es au nom du prĂ©sident, du gouvernement de la FĂ©dĂ©ration de Russie ou par dĂ©cision Le chef de Roskomnadzor dans le cadre de l'audit du procureur, en cas de non-respect du rĂšglement prĂ©cĂ©dent du rĂ©gulateur, ainsi qu'en cas de plaintes de sujets PD. Dans ce cas, les inspections imprĂ©vues ne peuvent ĂȘtre effectuĂ©es que sur place et les inspections programmĂ©es peuvent ĂȘtre Ă  la fois documentaires et sur site. Lors de la vĂ©rification, le rĂ©gulateur examine les documents rĂ©glementaires internes sur le traitement PD, inspecte les emplacements de stockage PD,nĂ©cessite de dĂ©montrer le traitement de la DP dans les systĂšmes d'information. En rĂšgle gĂ©nĂ©rale, en cas de manquements, le rĂ©gulateur ordonne l'Ă©limination des violations dans les dĂ©lais et amendes prĂ©vus pour le manque de base lĂ©gale pour le traitement des donnĂ©es personnelles (par exemple, pour le manque de faits documentĂ©s de consentement par des particuliers), pour le non-respect des objectifs de traitement et du volume de donnĂ©es personnelles, pour le manque de nĂ©cessaire notifications et politiques sur le site Web de l'opĂ©rateur, sous rĂ©serve de la collecte de PD sur celui-ci.pour l’absence des notifications et des politiques nĂ©cessaires sur le site Web de l’opĂ©rateur, sous rĂ©serve de la collecte de PD sur celui-ci.pour l’absence des notifications et des politiques nĂ©cessaires sur le site Web de l’opĂ©rateur, sous rĂ©serve de la collecte de PD sur celui-ci.

Source: https://habr.com/ru/post/fr470888/

More articles:


All Articles