Table des matières:
Vidéo: Expliquez vos decisions algorithmiques dans le respect du GDPR (P. Feillet, L. Grateau) (Novembre 2024)
Pour de nombreuses entreprises, en particulier pour de nombreuses petites et moyennes entreprises (PME), l'emplacement réel de leurs données peut être un mystère. Supposons, par exemple, que vous utilisez un cluster de serveurs basé sur un nuage situé dans la région de Virginie du Nord appartenant à Amazon Web Services (AWS). Cela signifie que vos données sont en Virginie du Nord, non? Oui, probablement. Mais disons que vous faites affaire avec des entreprises ou des particuliers en Europe. Ensuite, les données sur ces entités se trouvent probablement aussi dans cette région. Et dans très peu de temps, cela peut être un problème.
Plus important encore, à l'exception du RGPD, vous devez également tenir compte d'autres réglementations relatives aux flux de données transfrontaliers. En effet, le passage des données d'un citoyen de l'UE (ou d'une personne vivant dans l'UE qui n'est pas un citoyen) par le biais d'un autre pays peut être problématique. Cela signifie que vous devez savoir plus que son emplacement lorsque vous le stockez: vous devez savoir où il se trouve entre vous et l'endroit où se trouve votre client ou votre employé.
Je ne vais pas entrer dans les pénalités draconiennes qui pourraient vous attendre si vous enfreignez les règles du RGPD, car elles ont été décrites dans cette colonne et dans de nombreux autres endroits dans le passé. Alors, disons simplement que vous ne voulez pas que ces pénalités soient appliquées à vous.
7 chemins vers la conformité au GDPR
Mais tant que vous prenez des mesures préventives, vous ne devriez pas avoir à vous soucier des pénalités. Il y a des choses assez faciles que vous pouvez faire pour éviter les problèmes. En voici sept, par ordre du plus facile au plus difficile à faire.
Ne collectez pas d'informations personnelles auprès des citoyens de l'UE. Si votre site Web permet à quelqu'un de saisir des informations personnelles (par exemple, son nom et son adresse) lors de son inscription sur votre site Web, n'acceptez pas les inscriptions de l'UE ou ne les acceptez pas du tout.
Si vous devez accepter des informations personnelles de personnes vivant dans l'UE (peut-être parce que vous possédez un site de commerce électronique qui y vend des choses), stockez les données sur un serveur cloud situé à l'intérieur des frontières de l'UE. Souvent, il s’agit simplement de configurer un cluster de serveurs IaaS (Infrastructure-as-a-Service) à l’aide du site Web européen de votre fournisseur de cloud actuel. Si vous financez un court engagement avec les services professionnels de la plupart des fournisseurs de cloud, vous serez assuré de cette tâche. Non seulement cela, mais si vous avez la chance de dialoguer avec leurs consultants basés en Europe , vous obtiendrez probablement des tests certifiés et la documentation appropriée.
Bien que vous puissiez parfois transférer des données aux États-Unis ou dans l'un des rares pays d'Europe, il existe des limites. Aux États-Unis, ils s'appuient sur le Privacy Shield, un accord entre les États-Unis, l'Union européenne et la Suisse, qui spécifie les exigences de protection des données circulant entre les États-Unis et ces pays. C'est probablement une bonne idée pour votre organisation de certifier qu'elle répond aux exigences de protection des données du RGPD, mais la législation de l'UE est telle que la collecte et la conservation des données se limitent à ce qui est nécessaire pour effectuer la tâche immédiate. Cela signifie que quelqu'un connaissant les détails du GDPR suit vos différents flux de données. Bien que fastidieux, c'est le seul moyen de vous assurer que vous êtes en conformité.
Si vous devez traiter des données, que ce soit dans l'Union européenne ou aux États-Unis, vous devez alors répondre à des exigences spécifiques, notamment avoir une personne nommée en tant que délégué à la protection des données (DPD). Vous devrez également organiser un flux de travail dédié à la suppression des données lorsque vous n'en aurez plus besoin, ce qui peut devenir particulièrement complexe, car vous devez notamment pouvoir supprimer les informations personnelles de quiconque demande à être oublié. Franchement, c’est une autre raison pour réfléchir à deux fois au stockage d’informations sur les citoyens de l’UE.
Si vous devez vraiment faire des affaires dans l’UE, vous devriez probablement penser à y avoir une présence plutôt qu’un compte en nuage avec un serveur ou un service de partage de fichiers de niveau professionnel en Europe. Vous pouvez engager une entreprise pour gérer vos affaires en Europe ou ouvrir un bureau, car recruter des experts et des consultants du GDPR sera plus aisé de ce côté-là de la réserve, sans compter que faire simplement des affaires en Europe après le GDPR monde sera intrinsèquement plus facile en Europe que partout ailleurs.
Si vous ouvrez un bureau, vos informations en Europe doivent également faire en sorte que leurs informations soient traitées conformément aux règles GDPR. Bien que vous puissiez conserver les dossiers des employés aux États-Unis, vous devez suivre les règles, notamment ne pas détenir les informations qui ne sont pas absolument nécessaires pour qu'un employé puisse faire son travail. Vous devrez également obtenir la permission de l'employé pour stocker des informations personnelles (peut-être afin qu'il puisse être payé), mais votre DPO devra évaluer toutes les données stockées pour s'assurer que c'est quelque chose de nécessaire. Par exemple, vous ne pouvez pas demander leur photo à moins d’une raison, puis vous devez donner une justification très précise de la manière dont elle sera utilisée. Et il faut laisser l’employé décliner sans répercussion.
Passons maintenant à la partie compliquée: le service informatique doit pouvoir déterminer où se trouvent les données protégées à tout moment, où elles sont stockées pendant que vous les utilisez, où elles sont stockées et comment elles sont protégées. Juste dire que votre serveur cloud en Irlande ne suffit pas; vos collaborateurs devront savoir comment cela se passe sur ce serveur, ce qui lui arrive quand il est utilisé et comment il est protégé - en détail. Le mieux est d’engager des experts pour le faire à votre place, au moins les cartographies initiales et la sélection des outils de gestion permettant de conserver ces informations. Un DPO et du personnel de soutien seront éventuellement nécessaires, mais à court terme, la plupart des entreprises feraient bien de faire au moins appel à un consultant possédant une expertise vérifiable.
Pour les procrastinateurs
Bien sûr, il ne faut pas trop insister sur ce point, mais vous auriez déjà dû faire tout cela. Néanmoins, les réalités des affaires quotidiennes étant ce qu’elles sont, il est probable que beaucoup d’entre vous qui lisez ceci ne l’ont pas fait. Alors maintenant que la date est essentiellement sur vous, commencez par au moins savoir où se trouvent vos données. Et si ce n'est pas ce qui est censé être, alors voyez le point 1 ci-dessus jusqu'à ce que vous l'ayez compris.
Pendant que vous faites cela, c'est une bonne idée de poster un formulaire de consentement avant que quiconque puisse accéder à la partie de votre site Web qui demande des informations personnelles. Sagara Gunathunge, vice-présidente du projet Apache Web Services et directrice de WSO2, offre des exemples librement disponibles de formulaires de consentement à diverses fins. Mais rappelez-vous que vous devez savoir qui remplit ces formulaires afin de pouvoir afficher un lien direct vers les informations que vous avez collectées et pour déterminer si elles sont stockées dans l'UE ou ailleurs. Assurez-vous de bien le formuler, de le préciser et de dire exactement ce qui se passe avec les informations que vous collectez. Oui, c'est une douleur au cou. Mais l'autre choix est l'option 1.
