Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Confidentialité & Conformité

Le règlement général sur la protection des données de l’UE est désormais une loi à part entière. Voici les éléments essentiels à connaître.

L’approbation finale reçue par le règlement général sur la protection des données de l’UE (General Data Protection Regulation, ou GDPR) est selon certains, un « tournant de l’ère numérique »....
Michael Buckbee
3 minute de lecture
Dernière mise à jour 28 octobre 2021

Contenu

    L’approbation finale reçue par le règlement général sur la protection des données de l’UE (General Data Protection Regulation, ou GDPR) est selon certains, un « tournant de l’ère numérique ».

    La version définitive du Règlement aplanit quelques ambiguïtés et quelques derniers détails entre les différentes versions proposées par le Parlement européen et par le Conseil. N’oublions pas que le GDPR entrera en vigueur vers la fin de l’année 2017.

    Amendes

    Le GDPR prévoit des amendes à plusieurs paliers :

    Une entreprise peut se voir infliger une amende s’élevant jusqu’à 2 % pour mauvaise tenue des enregistrements (article 28), défaut de notification de l’autorité de surveillance et de la personne concernée à propos d’une violation (articles 31 et 32) ou absence d’évaluations d’impact (article 33).

    Les infractions plus sérieuses méritent une amende de 4 %. Celles-ci comprennent la violation des principes de base de la sécurité des données (article 5) et des conditions de consentement des consommateurs (article 7). Ces infractions constituent principalement des violations des concepts essentiels de respect de la vie privée dès la conception promus par la loi.

    Les règles du GDPR de l’UE s’appliquent aussi bien aux responsables du traitement qu’aux sous-traitants, via le « cloud ». Ainsi, les fournisseurs de services cloud sont tout aussi concernés lorsqu’il s’agit d’appliquer le GDPR.

    Délégué à la protection des données

    C’est officiel : il vous faudra probablement un délégué à la protection des données ou DPD. Vous pouvez découvrir les subtilités de la question dans l’article 35.

    Si les activités principales de votre entreprise comprennent la « supervision systématique de personnes concernées à grande échelle » ou le traitement à grande échelle de « catégories spéciales » de données (origine ethnique, opinions politiques, convictions religieuses ou philosophiques, données biométriques, médicales ou sexuelles, ou concernant l’orientation sexuelle), vous êtes dans l’obligation d’avoir un DPD.

    Aux États-Unis, la fonction la plus proche est celle de responsable de la confidentialité.
    Dans tous les cas, les attributions du DPD comprennent le conseil et la supervision de la conformité au GDPR, ainsi que la représentation de l’entreprise lors du contact avec l’autorité de contrôle nationale.

    Notification d’atteinte à la protection des données

    L’article 31 nous dit que les responsables du traitement sont dans l’obligation de notifier l’autorité de supervision appropriée d’une violation de données à caractère personnel dans les 72 heures (au plus tard) suivant la découverte de l’exposition, si celle-ci entraîne des risques pour le consommateur. Mais même si la gravité de l’exposition reste limitée, l’entreprise doit néanmoins conserver des enregistrements internes à propos de l’incident.

    Selon le GDPR, la destruction, la perte ou l’altération accidentelle ou illicite, la divulgation ou l’accès non autorisés aux données à caractère personnel (le terme de l’UE pour les IPI) sont considérés comme des violations.

    D’après ma compréhension du GDPR, cela signifie que si un collaborateur voit des données qui ne relèvent pas de sa description de poste, le cas pourrait être considéré comme une violation.

    D’où l’importance d’avoir effectué un examen approfondi des listes d’accès aux fichiers et d’avoir mis en place des contrôles basés sur les rôles.

    Conclusion : la notification du GDPR va au-delà de dire simplement qu’un incident est survenu. Vous devrez indiquer les catégories de données, les enregistrements affectés et le nombre approximatif de personnes concernées. Et cela signifie qu’il vous faudra disposer d’informations détaillées sur ce que faisaient les pirates externes et internes.

    Les sous-traitants disposent d’une marge de manœuvre un peu moins étroite : ils sont censés notifier l’entreprise à laquelle ils fournissent des services (le responsable du traitement) « sans retard indu ».

    Dans quelles conditions une entreprise doit-elle informer la personne concernée d’une violation ? Les détails sont dans l’article 32, mais par exemple, si une entreprise a chiffré les données ou pris d’autres mesures de sécurité qui les rendent illisibles, elle ne sera pas tenue d’informer la personne concernée.

    Pour les pays à l’extérieur de l’UE

    Nous avons tiré la sonnette d’alarme sur l’extra-territorialité depuis déjà plusieurs mois. Avec la finalisation du GDPR, nous pouvons dire avec certitude que la nouvelle loi s’applique à votre entreprise, même si elle ne fait que vendre des biens ou des services dans l’Union européenne.

    En d’autres termes, même si vous n’avez aucune présence formelle dans la zone UE, mais que vous recueillez et stockez les données personnelles de citoyens européens, le GDPR vous concerne.

    Comme beaucoup l’ont fait remarquer, la condition d’extra-territorialité (article 3) concerne tout particulièrement les entreprises de commerce électronique.

    Autres ressources
    Toutes les permutations du GDPR et les manières dont elles s’appliquent s’avèrent trop complexes pour être abordées en quelques articles de blog. Le délégué à la protection des données reste la personne vers laquelle se tourner pour demander conseil, parallèlement aux experts juridiques extérieurs à l’entreprise.

    Téléchargez notre Livre Blanc « Règlement général de l’UE sur la protection des données : les nouvelles règles européennes en matière de sécurité des données » et découvrez les tenants et les aboutissants du règlement général de l’UE sur la protection des données.

    Voici quelques informations complémentaires et disponibles sur le sujet :

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).