GDPR : faites vos devoirs et limitez les risques d’amende

gdpr

Ce conseil, qui était valable lorsque vous étiez à l’école, l’est aussi pour le Règlement général sur la protection des données (GDPR) : faites vos devoirs, cela compte dans votre note ! Dans le cas du GDPR, les devoirs à faire consistent à développer et mettre en place des mesures de respect de la vie privée dès la conception et à vous assurer que ces règles soient publiées et connues de l’équipe dirigeante.

C’est à la lecture des nouvelles directives publiées le mois dernier concernant les amendes du GDPR que j’ai repensé à l’importance de bien prendre des notes et de faire ses devoirs. Voici ce que disent les régulateurs européens :

« Ces dispositions introduisent une obligation de moyen plutôt qu’une obligation de résultat, c’est-à-dire que le responsable du traitement doit procéder aux évaluations nécessaires et arriver aux conclusions adéquates. La question à laquelle l’autorité de contrôle doit répondre est dans quelle mesure le responsable du traitement « a fait ce que l’on pouvait attendre de lui » compte tenu de la nature, de l’objet et de la taille du traitement, aux vues des obligations auxquelles il doit se soumettre dans le cadre du Règlement. »

L’autorité de contrôle mentionnée ci-dessus, autrefois connue sous le nom d’autorité de protection des données (DPA), est l’entité en charge de l’application du GDPR dans un pays de l’UE. L’autorité de contrôle est censée demander au responsable du traitement, c’est-à-dire à l’entreprise qui collecte les données, s’il a bien fait ses devoirs — « ce que l’on pouvait attendre de lui » — au moment du calcul des amendes appliquées en cas de non-respect du GDPR.

Les profs ne sont pas dupes

Plusieurs autres facteurs indiqués dans ces directives affectent le montant des amendes, notamment le nombre de personnes concernées, la gravité des dommages (« risques pour les droits et libertés »), les catégories de données concernées par la violation et la disposition à coopérer et aider l’autorité de contrôle. Vous pourriez alors répondre que certains de ces éléments ne dépendent plus de vous une fois que les hackers ont percé la première ligne de défense.

Mais s’il y a quelque chose que vous pouvez contrôler, c’est l’effort déployé par votre entreprise dans son programme de sécurité pour limiter les risques.

Je me rappelle également ce que nous a dit Sue Foster, avocate spécialisée dans le respect de la vie privée chez Hogan Lovells, durant un entretien sur l’importance de « mettre en avant le travail effectué ». Autre analogie à l’école, Sue Foster a déclaré que vous pouvez obtenir une « note partielle » si vous montrez aux régulateurs après l’incident que vous avez mis en place des processus de sécurité.

Elle a également prédit que des instructions supplémentaires seraient diffusées, et c’est bien ce que fait le document mentionné plus haut, en expliquant quels facteurs sont pris en compte lorsque des amendes sont infligées conformément au système à deux niveaux du GDPR, appliquant un taux de 2 % ou de 4 % du chiffres d’affaires mondial.

Les normes de sécurité en vigueur comptent

Les directives contiennent également quelques conseils très pratiques sur la conformité. Conscients que de nombreuses entreprises appliquent déjà des normes de données telles qu’ISO 27001, les régulateurs européens sont prêts à vous accorder une partie de la note si c’est votre cas.

« … toute procédure de ‘meilleures pratiques’ ou méthode en place et applicable doit être prise en considération. Il est important de tenir compte de l’application de toute norme ou code de conduite du secteur ou de la profession. Les codes de bonnes pratiques peuvent apporter une indication sur le niveau de connaissance des différents moyens de résoudre les problèmes de sécurité courants associés au traitement. »

Les personnes souhaitant prendre connaissance des lignes en petits caractères du GDPR peuvent consulter l’article 40 (« Codes de conduite »). Pour résumé, il y est dit que les associations de normalisation peuvent soumettre leurs contrôles de sécurité, par exemple PCI DSS, au comité européen de la protection des données (EDPB) pour approbation. Si un responsable du traitement applique un « code de conduite » approuvé officiellement, cela peut dissuader l’autorité de contrôle d’intenter une action, comme d’infliger une amende, tant que l’organisme de normalisation — par exemple le PCI Security Standards Council — possède son propre mécanisme de surveillance pour vérifier la conformité au règlement.

D’après ces directives du GDPR, les organisations qui ont fait leurs devoirs et possèdent la conformité PCI seront bientôt en meilleure position lorsqu’il s’agira de traiter avec les régulateurs européens.

Certification GDPR

Le GDPR va toutefois un peu plus loin. Il laisse la possibilité de certifier officiellement les opérations de données d’un responsable du traitement !

Dans la pratique, les autorités de contrôle ont le pouvoir (selon l’article 40) de certifier que les activités d’un responsable du traitement sont conformes au GDPR. L’autorité de contrôle elle-même peut également homologuer d’autres organismes de normalisation pour les autoriser à émettre elles aussi ces certifications.

Délivrées dans tous les cas pour trois ans, ces certifications devront être renouvelées passé ce délai.

Je devrais ajouter que ces certifications sont totalement facultatives mais qu’elles présentent des avantages indéniables pour de nombreuses entreprises. Le but est de tirer parti des normes de données déjà en place dans le secteur privé et de fournir aux entreprises une approche plus pratique de la conformité selon le GDPR, basée sur des exigences techniques et administratives.

L’EDPB devrait également proposer des marques et logos de certification pour mieux informer les consommateurs, ainsi qu’un registre des entreprises certifiées.

Nous devrons attendre de disposer d’informations complémentaires de la part des régulateurs concernant la certification du GDPR.

À court terme, les entreprises qui ont déjà mis en place des programmes de conformité aux normes PCI DSS, ISO 27001 et autres normes de données devraient être mieux à même d’éviter les amendes émises dans le cadre du GDPR.

Il est possible que très bientôt, lorsqu’ils consulteront un site Web, les internautes soient à l’affut d’un logo « European Data Protection Seal ».

Vous voulez limiter les amendes du GDPR ? Varonis aide à respecter de nombreuses normes de sécurité des données très diverses. En savoir plus !

 

Andy blogs about data privacy and security regulations. He also closely follows new malware threats and what it means for IT security.