Le RGPD existe depuis un an

Le Règlement général européen en matière de protection des données.– ou RGPD – est en vigueur depuis maintenant un an. Considérant l’impact continu qu’il a sur les affaires, son première anniversaire constitue une belle occasion de revenir en arrière et de réexaminer le RGPD sur la raison de son existence, sur ce qu’il demande, ainsi que deux grands cas de non-respect du RGPD qui ont déjà été mentionnés pour servir de rappel, ainsi qu’un avertissement.

En quoi consiste le RGPD ?

Le RGPD est un règlement de l’Union européenne qui vise à protéger “les droits et libertés fondamentaux des personnes physiques.” En particulier, il vise à faire respecter ces droits en protégeant les données personnelles des citoyens de l’UE : La manière dont les données personnelles sont collectées, ce qui est collecté, comment les données sont traitées, et comment les composants sont sécurisés, tout ceci relève du RGPD et comment il incombe aux entreprises de traiter les données de la manière appropriée.

Outre les exigences fixées pour les entreprises à gérer et traiter correctement les collectes de données, le RGPD octroie également certains droits aux particuliers. Parmi d’autres, les droits octroyés comprennent :

Le droit d’être informé de la collecte de données
Le droit de donner son consentement exprès – ou non- de collecter et traiter les données
Le droit d’avoir accès aux données personnelles
Le droit de modifier les données personnelles erronées
Le droit de restreindre le traitement des données personnelles
Le droit de transfert des données personnelles

De plus, les particuliers disposent aussi du droit de faire supprimer leurs données, mieux connu sous le nom « le droit à l’oubli ». Le RGPD confère ces droits à des particuliers dans tout un éventail de circonstances, y compris lorsqu’un individu retire simplement son consentement auprès d’une société qui détient et traite ses données, mais fournit également quelques restrictions sur ces droits pour des données détenues en vertu de la loi, piur la santé publique ou d’autres raisons.

Qu’implique le respect du RGPD ?

Côté affaires, le RGPD partage les gestionnaires de données des organisations en deux catégories distinctes : Responsables du contrôle et Responsables du traitement.

Le Responsable du contrôle peut être considéré comme une sorte de gestionnaires et d’officier chargé de la conformité – un Chef en matière de RGPD en quelque sorte. Il revient au Responsable du contrôle d’examiner quelles données sont collectées et dans quel but, afin d’évaluer les divers risques et possibilités auxquelles sont soumises les données personnelles étant placées sous leur contrôle, et qui peuvent être violées ou mal traitées, et qui ainsi enfreignent le RGPD. Ces fondements étant en place, il revient au Responsable du contrôle de mettre en œuvre toutes les mesures, à la fois au niveau de l’organisation qu’au niveau technique, qui sont nécessaires pour protéger les données, et ainsi les personnes concernées par ces données – ce, conformément au RGPD. Enfin, avec la mise en œuvre et la supervision de toutes les dispositifs de sécurité visant à protéger les données, le RGPD requiert aussi que le responsable du contrôle soit en mesure de prouver sa conformité.

Si tout cela paraît managérial, cela l’est véritablement. Chaque organisation est différente bien évidemment, mais les responsables du contrôle peuvent être des directeurs de services TI orientés sur les données, au plus bas niveau, ou bien situé plus haut jusqu’à une fonction de cadre de niveau C.

Comme son nom l’indique, le Responsable du traitement, est l’entité qui travaille avec les données. Certaines sociétés traitent intégralement leurs propres données en interne, alors que d’autres externalisent le traitement des données vers une tierce partie. Chaque organisation gère différemment le traitement des données, qui repose sur les besoins uniques de leur organisation et de leurs affaires. Indépendamment du fait si le responsable du traitement travaille en interne ou en externe, le RGPD les place sous l’autorité directe du responsable du contrôle, et il doit être en mesure de garantir et de prouver au responsable du contrôle qu’il est capable de satisfaire à toutes les exigences fixées par le RGPD.

Tout le travail effectué par le responsable du traitement doit être régi par un contrat ou une autre accord formel qui légifère la nature. Les fins et la durée du travail de traitement. De plus, il y a plusieurs autres exigences auxquelles les responsables de traitement doivent satisfaire :

Ils peuvent uniquement procéder au traitement des données à la demande du responsable du contrôle
Ils doivent avoir noué un engagement de confidentialité
Ils doivent s’assurer qu’ils peuvent documenter la conformité
Ils doivent assister le responsable du contrôle pour permettre l’exercice des droits individuels discutés ci-dessus
Ils doivent soit supprimer ou rendre les données à la fin d’un traitement spécifique des données

RGPD et sécurité des données

Les responsables du contrôle et du traitement des données doivent garantir que les mesures de sécurité sont en place à des niveaux de risque approprié, où les risques doivent être évalués, y compris en cas de perte, d’altération et d’accès ou de divulgation non autorisés. Le RGPD reconnaît le fait que de nouvelles menaces émergeront sans cesse, et que les technologies de pointe évolueront aussi. Il n’impose cependant pas des mesures techniques précises à prendre, mais il présente quelques exigences générales :

Les données personnelles doivent être rendues anonymes ou de pseudonymes, dans la mesure du possible
Les responsables du contrôle et du traitement doivent toujours maintenir la confidentialité, l’intégrité et la disponibilité de leurs données
La disponibilité doit être restituable rapidement en cas de défaillances de système
Il devrait y avoir des tests et évaluations de la sécurité des données en permanence, aussi bien au niveau technique organisationnel

Qui doit se conformer au RGPD ?

Le RGPD est applicable lorsqu’une organisation, soit responsable du contrôle, soit responsable du traitement, se trouve sur le territoire de l’UE. Toutefois, il est tout aussi important qu’il s’applique aussi à la plupart des instances lorsqu’une personne sujette à la collecte et au traitement des données se trouve sur le territoire de l’UE, et c’est aussi la raison pour laquelle de nombreuses sociétés en Amérique et ailleurs dans le monde entier doivent devenir conformes au RGPD également.

Les coûts de la non-conformité au RGPD

Dans les situations de non-conformité, le RGPD fait la distinction entre les dommages et les pénalités – et en considérant principalement que la confidentialité des données est un droit essentiel, il prend ces deux points très au sérieux. Les personnes qui ont subi un préjudice en raison de violations du RGPD ont droit d’obtenir un dédommagement intégral et effectif pour tous les préjudices – avec l’exigence supplémentaire que“le concept de préjudice fasse l’objet d’une interprétation plus élargie… d’une manière qui reflète entièrement les objectifs de ce Règlement.”

Et hormis les conséquences des préjudices envers les particuliers, les auteurs de la violation du RGPD doivent aussi être condamnés à des amendes et de pénalités administratives. La pénalité de base pour de graves violations s’élève à 20,000,000 EUR, mais peut atteindre jusqu’à 4% du chiffre d’affaires annuel si l’auteur fait partie d’un « engagement ». Ceci est un peu compliqué, car relativement vague – mais en substance, un engagement signifie que l’auteur est sous le contrôle , d’une grande société parente , par exemple, ainsi l’amende maximale de 4% peut être appliquée sur le chiffre d’affaires combiné de l’auteur de la violation et de la société parente.

Violations notoires de non-conformité au RGPD

La plus grande amende infligée jusqu’à présent est de 50,000,000 EUR qui a été prononcée à l’encontre Google pour son manquement à obtenir un consentement éclairé de la part des particuliers avant de collecter et traiter leurs données à utiliser pour un ciblage comportemental publicitaire, parmi d’autres fins. Bien que Google avait une case « Je donne mon consentement »”, l’Agence de contrôle française qui a infligé l’amende eu eu le sentiment qu’étant donné la complexité des opérations et du traitement des données de Google, les ´individus ne pouvaient pas véritablement comprendre à quoi ils consentaient – et que de cette manière le RGPD avait été enfreint.

Vous avez également pu noter que l’amende de 50,000,000 EUR dépasse le maximum de 20,000,000 EUR mentionné plus haut, et c’est parce que Google UE est détenue et contrôlée par la société holding de Google, Alphabe, qui fait donc partie d’un engagement. Théoriquement, les autorités françaises auraient pu demander jusqu’à 4% de la totalité du chiffre d’affaires d’Alphabet, ce qui aurait représenté des milliards, ainsi Google peut s’estimer heureux que l’amende fixée soit seulement de 50,000,000 EUR.

Le montant de la deuxième amende la plus élevée en date est de 400,000 EUR à l’encontre d’un hôpital portugais qui ne disposait pas de protocoles et de procédures de sécurité des données en place.

Par exemple, il y avait plus de comptes « docteur » ayant accès aux dossiers des patients qu’il n’y avait de docteurs dans l’hôpital – 300 % de plus, en fait. Les comptes des docteurs avaient accès à tous les dossiers des patients dans la base de données de l’hôpital, indépendamment du fait si ces dossiers leur étaient utiles, mais le pire était que 9 emplotés TI de l’hopitâl avait plein accès à toutes les données des patients.

RGPD : un an après

Une année s’est écoulée depuis que le RGPD soit entré en vigueur. Pendant cette période, nous avons assisté à la mise en place des contrôles nécessaires pour être conforme dans les sociétés du monde entier, et nous avons vu des mesures d’exécution infligées à l’encontre des sociétés n’étant pas conformes, conformité avec le RGPD ceci les a forcées à regarder de plus près leurs processus internes, et à adopter de nouvelles manières de penser et d’agir.

Ceci dit, les éléments fondamentaux de la sécurité des données n’ont pas changé. Apparemment, l’hôpital portugais a violé les exigences du RGPD selon laquelle il faut se prémunir d’un accès non autorisé. Mais davantage d’une violation du RGPD, permettre à un compte blanc d’avoir accès à des informations privilégiées constitue une violation envers principes de base en matière de cybersécurité qui met l’accent sur le fait que l’accès doit être octroyé uniquement à la bonne personne, au bon moment, et dans les bonnes circonstances : un processus connu sous le nom de gestion des accès à privilèges, ou PAM. Nous considérons l’accès aux données comme un a privilège, et non pas comme un droit– et tout comme le RGPD, nous comprenons également que la confidentialité est un droit essentiel que les organisations doivent protéger C’est la raison pour laquelle nous fabriquons des outils qui aident les sociétés à offrir cette confidentialité et à maintenir un niveau de conformité sans faille et efficace – et qu’elles soient en mesure de prouver cette conformité – avec le RGPD et de nombreux autres règlements internationaux et sectoriels en matière de sécurité TI.

contenus associés

Décembre 26, 2023

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description