Gdpr commence aujourd'hui! Que souhaitez-vous savoir

À compter d’aujourd’hui, le 25 mai 2018, la législation du règlement général sur la protection des données (RPG) de l’Union européenne (UE) deviendra effectivement une loi mondiale en ce qui concerne la question de savoir comment les entreprises doivent traiter les données à caractère personnel. Vous pensez peut-être qu'une loi sur la protection des données ratifiée en Europe ne s'appliquerait qu'aux Européens, mais vous auriez tort. En effet, les RPGD protègent tous les citoyens européens, peu importe leur lieu de résidence et leurs relations d'affaires, ce qui signifie que les entreprises américaines qui ont des clients de l'Union européenne sont clairement soumises aux exigences du RPGD et, pire, à des sanctions. Pire, car, selon un récent rapport de Crowd Research Partners, seules 7% des entreprises sont en voie de se conformer au GDPR avant la date limite d'aujourd'hui.

Et même si certaines mesures peuvent encore être prises aujourd'hui pour que votre entreprise soit au moins en partie conforme à la norme GDPR, la mise en conformité totale n'est pas un projet léger. Les processus de collecte de données doivent correspondre à la manière dont les données seront utilisées par l'entreprise (par exemple, les données d'achat des consommateurs mais pas les données sur les antécédents médicaux des entreprises de commerce électronique). Les entreprises doivent pouvoir et pouvoir expliquer exactement quelles données ont été collectées et pourquoi. Les pratiques de sécurité doivent démontrer une capacité manifeste de protection contre la perte, les dommages et la destruction, et les données ne doivent pas être conservées plus longtemps que nécessaire. Toute entreprise qui ne se conformera pas à la réglementation sera sujette à une perte de 4% de ses revenus annuels.

"Il ne s'agit pas d'un ensemble de règles et de règlements insensés", a déclaré Ankur Laroia, responsable des solutions stratégiques chez Alfresco, fournisseur de systèmes de gestion de l'information. Laroia soutient que plusieurs problèmes dans les règlements du règlement vont rendre difficile pour les entreprises de rester en conformité. Par exemple, quelques problèmes incluent des règles abstraites expliquant la raison pour laquelle les données sont collectées, des exigences excessives pour le nettoyage des données client lorsque demandé, et la nécessité pour certaines entreprises de réorganiser totalement les procédures de sécurité dans le seul but de garantir la conformité. Pourtant, Laroia ne pense pas que l’UE soit en train de déconner.

"L'UE va s'en prendre aux coupables", prédit-il. "Si cela avait été promulgué, Equifax aurait eu beaucoup de problèmes."

Le GDPR, tout en se concentrant principalement sur les citoyens de l'UE, présente également un scénario cauchemardesque pour les propriétaires d'entreprise américains., nous détaillerons ce que les Américains doivent savoir pour entamer leur cheminement vers la conformité au GDPR.

1. Les entreprises américaines devront se conformer

Si votre librairie grand public n'a jamais expédié de colis en dehors de votre ville d'origine, vous n'aurez probablement pas besoin de vous préoccuper du GDPR. Toutefois, si vous avez un seul client basé dans l'UE, vous devrez immédiatement commencer le processus de conformité au GDPR. En vertu des statuts, les données sur les citoyens de l'UE doivent être protégées et vous devez les fournir au citoyen s'il en fait la demande. Plus important encore, vous devrez peut-être purger ces données de vos systèmes si et quand le citoyen en fait la demande. Si vous ne le voyez pas et que le chien de garde GDPR le découvre, vous risquez de perdre 4% de votre revenu annuel.

"Bien qu'il s'agisse d'une directive européenne, elle concerne toutes les entreprises du monde entier qui ont des résidents européens", a déclaré Pete Lindstrom, vice-président de la recherche sur la sécurité chez IDC. "Si vous avez des champs d'adresse et qu'il s'agit d'une adresse européenne, ils seront probablement considérés comme européens."

Il n’ya pas de distinction entre une entreprise basée dans l’UE ou dans une ville comme Skokie, dans l’Illinois. La loi se concentre plutôt sur les informations personnelles identifiables (PII) et le lieu où réside la personne associée aux données. Toute personne possédant des données personnelles sur un client européen devra se conformer.

Même si votre entreprise compte quelques clients basés en Europe, il est très peu probable que votre librairie locale soit auditée par des chiens de garde GDPR. Mais les grandes entreprises, telles que Facebook et Yahoo, ne pourront pas prétendre à l’allégeance américaine comme un moyen de contourner le GDPR.

"Si vous êtes une maman et pop et que vous avez une violation, vous êtes légalement responsable", a déclaré Laroia. "Il est difficile de dire si elles vous suivront de manière réaliste… chaque État membre de l'UE aura un bureau de la conformité. Ce bureau demandera le système de conformité de chacun. Ils créeront un inventaire des entreprises qui exercent des activités dans leurs régions. Ils vont vérifier les plus gros joueurs et commencer à poser des questions."

Les entreprises américaines qui ne se conforment pas ne doivent pas s'attendre à ce que le gouvernement américain les protège lorsque les États membres de l'UE soutenus par le GDPR tentent de collecter ces recettes perdues. "Le gouvernement américain est obligé de veiller à ce que ces jugements soient exécutés", a déclaré Laroia. "On ne sait pas encore si elles seront appliquées, mais le gouvernement de l'UE devra se battre."

2. 25 mai signifie le 25 mai

Bien que le règlement entre en vigueur aujourd'hui, le 25 mai 2018, la loi a été ratifiée par le Parlement européen le 14 avril 2016. Cela signifie qu'en ce qui concerne l'UE, les entreprises ont eu amplement le temps de mettre en place des pratiques conformes au GDPR.. Ainsi, si votre entreprise est confrontée à une cyberattaque massive demain et que les données que vous avez collectées sur les clients, les visiteurs du site Web et même les partenaires se retrouvent sur le vilain réseau noir, vous ne pouvez pas prétendre que le temps est insuffisant. excuse pour la divulgation de données de citoyens de l’UE.

"Les statuts sont entrés en vigueur", a déclaré Laroia. "Vous pouvez déjà être invité à montrer votre cheminement vers la conformité. Avez-vous inventorié? Quel est votre protocole pour qu'un citoyen de l'UE vous interroge sur vos données? Ces entreprises peuvent être interrogées maintenant. Ces amendes commenceront dès le début de l'année prochaine si ils ne peuvent pas démontrer leur conformité après mai."

3. Ne vous attendez pas à une prolongation

Contrairement à la plupart des conflits juridiques auxquels nous sommes confrontés aux États-Unis (par exemple, Net Neutrality), personne dans l'Union européenne n'est intervenu le 24 mai 2018 pour contester le RGPD et retarder ainsi indéfiniment la réglementation. Les Européens le voulaient et maintenant ils l’ont.

"C'est la beauté de la manière dont la réglementation a été mise en place", a déclaré Laroia. "Parce qu'ils ont donné aux sociétés un an pour bien faire les choses, il n'y a pas eu de contestation judiciaire. Si nous allions voir cela, cela se serait déjà passé. Est-ce que quelqu'un pourrait le faire après avoir été poursuivi?" Je suis sûr qu'ils vont essayer, mais ça leur semblera mal à ce moment-là."

4. Ce que vous devrez faire pour vous conformer

Comme le stipule le règlement, vous devrez désigner un responsable de la gestion du processus de conformité. Cette personne, que la loi GDPR appelle le "délégué à la protection des données" (DPO), sera la personne responsable de la supervision de l'équipe de surveillance du GDPR à travers les méthodes utilisées par votre société pour sécuriser ses données. Cette personne sera également chargée de rassembler les différents secteurs d'activité de votre entreprise afin de produire une méthodologie permettant de se conformer et de rester conforme à la norme GDPR.

En résumé, les tâches du DPD seront réparties en quatre catégories principales:

• Premièrement, ils doivent être suffisamment familiarisés avec les détails du GDPR pour pouvoir servir de point de contact non seulement pour le processus de conformité initial, mais également pour toutes les questions de traitement des données liées au GDPR à l'avenir, et suffisamment pour pouvoir répondre aux questions des deux principaux responsables. cadres et agents informatiques de traitement des données sur le terrain.
• Deuxièmement, ils doivent pouvoir surveiller tous les processus de traitement des données en cours dans votre organisation et évaluer leur efficacité en ce qui concerne la sécurité des données à caractère personnel.
• Troisièmement, ils doivent disposer de capacités d'audit et de surveillance pour tous les domaines de votre entreprise susceptibles d'être affectés par le GDPR et les évaluer régulièrement pour en vérifier la conformité.
• Enfin, ils doivent être en contact avec les autorités du GDPR de votre secteur, coopérer avec elles et agir en tant que personne de contact pour toutes les demandes émanant de cette autorité.

Tout cela revient à une personne qui comprend les flux de données et les technologies et mesures de protection des données, ainsi que la connaissance des détails de la législation GDPR, mais également la connaissance de la législation européenne pertinente et pertinente, telle que sa directive sur la protection de la vie privée. Le manque probable de ces compétences a créé une opportunité d'espaces verts pour les consultants en commerce et en informatique, mais si vous souhaitez développer ce talent en interne, le meilleur moyen est de rechercher des ressources d'apprentissage en ligne européennes, anglophones, nombre d’entre eux ont mis au point un didacticiel GDPR DPO à cette fin. En outre, certaines organisations industrielles multinationales, telles que l'Association internationale des professionnels de la protection de la vie privée (IAPP), proposent des cours de formation et des certifications GDPR.

Sur une note plus technique, pour rester en conformité, vous devez utiliser au moins une méthode de cryptage pour les serveurs physiques, le stockage en réseau, les disques et les lecteurs, ainsi que pour l'accès au réseau. Vous aurez besoin de vérifier l'identité des employés et d'instaurer une authentification multifactorielle (MFA) lors de l'accès aux informations personnelles et pour les transactions incluant des données personnelles. Vous devrez supprimer toutes les pratiques qui accèdent ou traitent des données à des fins non autorisées, surveillez et vérifiez constamment les données pour en assurer la pertinence, et purgez complètement et de manière irréversible les données client lorsque cela vous est demandé. Les organisations devront procéder à des évaluations complètes des risques et collaborer avec leurs partenaires, notamment ceux connectés via des interfaces de programmation d'application (API), afin de garantir une conformité continue.

Enfin, en cas de violation des données de votre entreprise, vous devez immédiatement avertir votre superviseur GDPR associé afin de décrire intégralement la violation et ses conséquences. Et vous devrez communiquer les conséquences de la violation aux clients concernés.

5. Clients américains

Laroia a déclaré qu'il était en fin de compte bon sens des affaires de protéger et de bien gérer les informations des clients. "Vous devez regarder cela du point de vue du client final", a déclaré Laroia. "C’est la raison pour laquelle ces entreprises sont en affaires. Oui, bien que cela soit pénible pour l’entreprise, les entreprises n’ont pas investi dans la technologie ou n’ont pas suivi le rythme de l’innovation."

Malheureusement, les réglementations américaines similaires ne sont pas dans les livres. Les entreprises qui font des affaires à New York en vertu des exigences de cybersécurité du département des services financiers de New York sont couvertes dans une certaine mesure. Ce règlement impose aux entreprises basées à New York de mettre en œuvre et de maintenir une ou plusieurs politiques écrites, approuvées par un haut dirigeant ou le conseil d'administration de l'entité couverte (ou l'un de leurs comités appropriés) ou un organe de direction équivalent. Ceci établit les politiques et procédures de l'entité visée pour la protection de ses systèmes d'information et des informations non publiques stockées sur ces systèmes d'information, conformément à la loi écrite.

D'autres États, tels que le Colorado, ont discuté de la mise en œuvre de réglementations similaires. Cependant, il n’existe pas de loi fédérale générale. Mais Laroia est optimiste quant à l’avenir des États-Unis. "Les Américains n'ont pas de tels droits", a-t-il déclaré. "Mais donnez-lui cinq ans."