2018.05.25 : Bonjour RGPD (loi européenne sur la protection des données)

Rédigé par Joseph MICACCIA - -
RGPD Europe

Le Règlement général sur la protection des données (RGPD) entre en application dans toute l'Europe ce vendredi, quelques semaines après l’éclatement du scandale "Cambridge Analytica", du nom de cette entreprise accusée d'avoir récupéré frauduleusement les données de 87 millions d'utilisateurs de Facebook.

 

Ce règlement européen édicte de nouvelles règles très strictes en matière de données personnelles, pour favoriser la transparence sur l'usage des données personnelles par les entreprises.

 

 

Le règlement général sur la protection des données (RGPD, en anglais GDPR, General Data Protection Regulation - Règlement UE 2016/679) est un règlement avec lequel la Commission européenne a l'intention de renforcer et d'harmoniser la protection des données personnelles des citoyens et résidents de l'Union européenne, à l'intérieur et même à l'extérieur des frontières de l'Union européenne (UE). Les principaux objectifs de la Commission européenne dans la RGPD sont de redonner aux citoyens le contrôle de leurs données personnelles et de simplifier l'environnement réglementaire concernant les affaires internationales en unifiant et en normalisant la législation relative à la vie privée au sein de l'UE. Depuis son entrée en vigueur, la RGPD remplace le contenu de la directive sur la protection des données (directive 95/46 / CE).

 

De ce fait, depuis quelques jours, tous les services en ligne invitent leurs utilisateurs à accepter leurs nouvelles conditions générales d'utilisation et à vérifier les données personnelles dont dispose chaque entreprise.

 

Ne me quitte pas Il faut oublier Tout peut s'oublier Qui s'enfuit déjà Oublier le temps Des malentendus et le temps perdu À savoir comment Oublier ces heures Qui tuaient parfois à coups de pourquoi Le cœur du bonheur Ne me quitte pas Ne me quitte pas Ne me quitte pas Ne me quitte pas Moi je t'offrirai Des perles de pluie Venues de pays où il ne pleut pas Je creuserai la terre jusqu'après ma mort Pour couvrir ton corps d'or et de lumière Je ferai un domaine Où l'amour sera roi, où l'amour sera loi Où tu seras reine Ne me quitte pas Ne me quitte pas Ne me quitte pas Ne me quitte pas Ne me quitte pas Je t'inventerai Des mots insensés Que tu comprendras Je te parlerai De ces amants-la Qui ont vu deux fois leurs cœurs s'embraser Je te raconterai l'histoire de ce roi mort De n'avoir pas pu te rencontrer Ne me quitte pas Ne me quitte pas Ne me quitte pas Ne me quitte pas On a vu souvent Rejaillir le feu D'un ancien volcan Qu'on croyait trop vieux Il est, paraît-il Des terres brûlées Donnant plus de blé Qu'un meilleur avril Et quand vient le soir Pour qu'un ciel flamboie Le rouge et le noir ne s'épousent-ils pas? Ne me quitte pas Ne me quitte pas Ne me quitte pas Ne me quitte pas Ne me quitte pas Je ne vais plus pleurer Je ne vais plus parler Je me cacherai là À te regarder danser et sourire et À t'écouter chanter et puis rire Laisse-moi devenir l'ombre de ton ombre L'ombre de ta main L'ombre de ton chien Ne me quitte pas Ne me quitte pas Ne me quitte pas Ne me quitte pas (Jacques Brel)

"Ne me quitte pas"... (Jacques Brel)

 

Pensé pour donner plus de pouvoir aux utilisateurs dans la gestion de leurs données personnelles en ligne, le RGPD inclut des mesures très concrètes qui permettront, par exemple, de changer de service plus facilement. Ainsi, ce règlement oblige toutes les entreprises et administrations qui traitent des données personnelles à mieux informer leurs utilisateurs sur l'usage qui en est fait. Avec le RGPD, les services en ligne ont l'obligation de permettre aux utilisateurs de récupérer leurs données personnelles dans un format standard pour les transférer vers une autre plateforme.

 

 

L’une des conséquences, c’est que les enfants mineurs n’ont plus accès à Facebook, Twitter, Instagram, Snapchat, et plus largement à tous les réseaux sociaux qui demandent ce matin aux parents leur consentement pour la collecte et le traitement de leur données personnelles.

 

En conséquence, le RGPD pose problème à de nombreuses entreprises qui sont obligés de se mettre en conformité avant le 25 mai sous peine d'une forte amende (jusqu'à 4% de leur chiffre d'affaires mondial) et qui doivent informer précisément leurs utilisateurs sur l'usage qu'elles font de leurs données.

 

En France, sur son site, la CNIL a publié un guide sécurité des données personnelles, ainsi qu'une checklist RGPD pour aider les PME à se mettre en conformité avec le RGPD :

 

Checklist RGPD
  Action Mesures
1 Sensibiliser les utilisateurs
  • Informez et sensibilisez les personnes manipulant les données
  • Rédigez une charte informatique et lui donner une force contraignante
2 Authentifier les
utilisateurs
  • Définissez un identifiant (login) unique à chaque utilisateur
  • Adoptez une politique de mot de passe utilisateur conforme à nos recommandations
  • Obligez l’utilisateur à changer son mot de passe après réinitialisation
  • Limitez le nombre de tentatives d’accès à un compte
3 Gérer les habilitations
  • Définissez des profils d’habilitation
  • Supprimez les permissions d’accès obsolètes
  • Réaliser une revue annuelle des habilitations
4 Tracer les accès et gérer les incidents
  • Prévoyez un système de journalisation
  • Informez les utilisateurs de la mise en place du système de journalisation
  • Protégez les équipements de journalisation et les informations journalisées
  • Prévoyez les procédures pour les notifications de violation de données à caractère personnel
5 Sécuriser les postes de travail
  • Prévoyez une procédure de verrouillage automatique de session
  • Utilisez des antivirus régulièrement mis à jour
  • Installez un « pare-feu » (firewall) logiciel
  • Recueillez l’accord de l’utilisateur avant toute intervention sur son poste
6 Sécuriser l'informatique mobile
  • Prévoyez des moyens de chiffrement des équipements mobiles
  • Faites des sauvegardes ou synchronisations régulières des données
  • Exigez un secret pour le déverrouillage des smartphones
7 Protéger le réseau informatique interne
  • Limitez les flux réseau au strict nécessaire
  • Sécurisez les accès distants des appareils informatiques nomades par VPN
  • Mettez en oeuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi
8 Sécuriser les serveurs
  • Limitez l’accès aux outils et interfaces d’administration aux seules personnes habilitées
  • Installez sans délai les mises à jour critiques
  • Assurez une disponibilité des données
9 Sécuriser les sites web
  • Utilisez le protocole TLS et vérifiez sa mise en oeuvre
  • Vérifiez qu'aucun mot de passe ou identifiant ne passe dans les url
  • Contrôlez que les entrées des utilisateurs correspondent à ce qui est attendu
  • Mettez un bandeau de consentement pour les cookies non nécessaires au service
10 Sauvegarder et prévoir la continuité d'activité
  • Effectuez des sauvegardes régulières
  • Stockez les supports de sauvegarde dans un endroit sûr
  • Prévoyez des moyens de sécurité pour le convoyage des sauvegardes
  • Prévoyez et testez régulièrement la continuité d'activité
11 Archiver de manière sécurisée
  • Mettez en oeuvre des modalités d’accès spécifiques aux données archivées
  • Détruisez les archives obsolètes de manière sécurisée
12 Encadrer la maintenance et la destruction des données
  • Enregistrez les interventions de maintenance dans une main courante
  • Encadrez par un responsable de l’organisme les interventions par des tiers
  • Effacez les données de tout matériel avant sa mise au rebut
13 Gérer la sous-traitance
  • Prévoyez une clause spécifique dans les contrats des sous-traitants
  • Prévoyez les conditions de restitution et de destruction des données
  • Assurez-vous de l'effectivité des garanties prévues (audits de sécurité, visites, etc.)
14 Sécuriser les échanges avec d'autres organismes
  • Chiffrez les données avant leur envoi
  • Assurez-vous qu'il s'agit du bon destinataire
  • Transmettez le secret lors d'un envoi distinct et via un canal différent
15 Protéger les locaux
  • Restreignez les accès aux locaux au moyen de portes verrouillées
  • Installez des alarmes anti-intrusion et vérifiez-les périodiquement
16 Encadrer les développements informatiques
  • Proposez des paramètres respectueux de la vie privée aux utilisateurs finaux
  • Évitez les zones de commentaires ou encadrez-les strictement
  • Testez sur des données fictives ou anonymisées
17 Utiliser des fonctions cryptographiques
  • Utilisez des algorithmes, des logiciels et des bibliothéques reconnues
  • Conservez les secrets et les clés cryptographiques de manière sécurisée

 

Ainsi, en harmonisant une législation, l'Europe protège les individus au sein de ses frontières, et même en dehors.

 

Sources :

 

Les commentaires sont fermés.