Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Données personnelles en Europe : sérieux casse-tête à venir pour les entreprises

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur Données personnelles en Europe : sérieux casse-tête à venir pour les entreprises

Le projet de règlement européen sur la protection des données à caractère personnel agite le petit monde des juristes mais pas encore vraiment celui des entreprises. Et pour cause : il ne s’agit encore que d’un projet dont l’application interviendra au mieux en 2015 et au pire en 2017. Et puis le document est dense : 91 articles, soit trois fois la directive européenne actuelle, qui ne concerne elle que l’industrie des télécoms.

Mais les entreprises auraient tort de jouer l’autruche : elles devraient s’y pencher dès aujourd’hui tant ce texte prévoit d’obligations qui exigeront la mise en oeuvre de projets structurels.

François Coupez, du cabinet Caprioli & Associés, est revenu hier en détail sur ce projet européen à l’occasion du salon Européen du Droit, de l’Audit et du Conseil (LEXposia) à Paris. « Ce projet s’inscrit dans un objectif de lutte contre la fragmentation des textes sur la protection des données personnelles en Europe, car les différentes transpositions ne sont pas homogènes« , précise-t-il. Ainsi après avoir constaté l’échec de l’approche par la directive (qui doit être transposée par chaque Etat membre en une loi nationale), l’Europe opte désormais pour une approche fédéraliste avec le règlement : une loi unique décidée par Bruxelles et qui s’applique telle-quelle à tous les Etats, sans transposition.

Ce règlement place donc la Commission Européenne au centre du dispositif de la protection des données personnelles européennes en « vassalisant » les autorités nationales existantes, telle la CNIL (nous avions déjà présenté la structure de ce dispositif lors d’un article précédent).

Concrètement ce sera donc à Bruxelles de décider les mesures techniques et organisationnelles que toutes les entreprises européennes devront mettre en oeuvre afin de protéger leurs données à caractère personnel, et aux autorités locales de faire appliquer le règlement. « Si ce texte passe en l’état, l’Etat de l’Art de la sécurité ne sera plus déterminé par les professionnels mais par la Commission Européenne« , précise François Coupez.

Si de telles mesures techniques ne sont bien entendu pas encore décidées, les moyens et les objectifs du texte sont connus. En particulier, toutes les entreprises européennes devront mettre en oeuvre :

–  Une analyse de risque / d’impact. Celle-ci sera obligatoire pour chaque traitement de données à caractère personnel. Comme toutes les mesures obligatoires du texte, la peine encourue en cas de non conformité pourra aller jusqu’à 1 million d’euros ou 2% du Chiffre d’Affaires mondial de l’entreprise. La méthode d’analyse n’est pour l’instant pas précisée.

La classification des données et le recensement des traitements de données personnelles. Bien entendu déjà nécessaire dans le cadre de l’analyse de risque et pour toute démarche de protection des données personnelles, la classification des données devient incontournable afin de répondre à l’obligation de traçabilité et de documentation exigée ci-dessous.

– La responsabilisation (« accountability« ). L’entreprise doit documenter chaque mesure prise pour assurer la sécurité des données personnelles (analyse de risque, classification des données, et toutes les mesures qui pourront être imposées par la Commission Européenne) et surtout prouver qu’elles sont opérationnelles. Il devient donc nécessaire de tout tracer, de tout recenser et de tout documenter afin de pouvoir déterminer les responsabilités de chacun lors d’une brèche éventuelle. Le CIL (devenu DPO, pour Data Protection Officer et obligatoire au delà de 250 employés) doit en outre documenter l’ensemble des actions menées dans le cadre de sa mission.

– Des produits labélisés. L’Europe souhaite que les fonctions nécessaires à la protection des informations à caractère personnel soient intégrées dès la conception des solutions IT. La Commission décidera donc, outre des mesures techniques que les entreprises devront mettre en oeuvre, aussi des produits privilégiés répondants à ses critères de « privacy by design« .


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.