Géolocalisation interne : un enjeu pour les sites industriels
Conformité : Commvault et Pure Storage lancent une solution de stockage intégrée pour les...
Netskope renforce sa plateforme One avec des fonctions DSPM de gestion de la posture...
NIS 2 : une directive bénéfique, mais pas significative
Un tiers des directions juridiques n’a pas de budget pour les outils technologiques
Veritas renforce son offre de cybersécurité avec de nouveaux outils basés sur l’IA
NIS 2 : Sentinelle RGPD, du lillois Extern SN, automatise la détection des données...
DPO : une profession en expansion, mais les profils non spécialistes fragilisent les entreprises
RGPD : lourdes amendes pour TikTok et Meta en Irlande
Une majorité d’entreprises françaises considèrent le RGPD comme important
Introduction au RGPD
Le Règlement Général sur la Protection des Données (RGPD) est une législation européenne entrée en vigueur le 25 mai 2018. Conçue pour renforcer la protection des données personnelles des citoyens européens, elle impose des obligations strictes aux entreprises et organisations traitant ces données.
Son impact dépasse les frontières de l'Europe, affectant toute entreprise qui manipule des données de résidents de l'Union européenne.
Les principes fondamentaux du RGPD
1 - Licéité, loyauté et transparence
Le traitement des données doit être réalisé de manière légale, loyale et transparente pour les personnes concernées. Les organisations doivent clairement informer les individus sur l’utilisation de leurs données.
2 - Limitation des finalités
Les données personnelles doivent être collectées pour des objectifs spécifiques, explicites et légitimes. Toute utilisation ultérieure des données ne doit pas être incompatible avec ces finalités initiales.
3 - Minimisation des données
Seules les données nécessaires au regard des finalités pour lesquelles elles sont traitées doivent être collectées. Ce principe de minimisation limite l’ampleur des informations collectées.
4 - Exactitude
Les données doivent être exactes et tenues à jour. Des mesures doivent être prises pour que les données inexactes soient corrigées ou supprimées rapidement.
5 - Limitation de la conservation
Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire. La durée de conservation doit être justifiée par la finalité du traitement.
6 - Intégrité et confidentialité
Les données doivent être traitées de manière à garantir leur sécurité, y compris leur protection contre le traitement non autorisé ou illicite, et contre la perte, la destruction ou les dommages accidentels.
Les droits des individus sous le RGPD
Le RGPD renforce les droits des individus sur leurs données personnelles. Parmi ces droits, on trouve :
1 - Le droit d’accès : Les personnes peuvent demander à une organisation si elle détient des informations personnelles les concernant et, si oui, demander à en obtenir une copie.
2 - Le droit de rectification : Si des données sont inexactes ou incomplètes, les individus peuvent demander leur correction.
3 - Le droit à l’effacement : Aussi appelé "droit à l’oubli", il permet aux individus de demander la suppression de leurs données personnelles sous certaines conditions.
4 - Le droit à la portabilité des données : Les individus peuvent obtenir et réutiliser leurs données personnelles pour leurs propres besoins à travers différents services.
5 - Le droit d’opposition : Les personnes peuvent s’opposer au traitement de leurs données personnelles pour des raisons tenant à leur situation particulière.
Les obligations des entreprises sous le RGPD
1 - Nomination d’un Délégué à la Protection des Données (DPO)
Les entreprises doivent désigner un Délégué à la Protection des Données (DPO) lorsque leur activité principale les amène à effectuer un suivi régulier et systématique des personnes ou à traiter des catégories particulières de données sensibles à grande échelle.
2 - Tenue d’un registre des activités de traitement
Les entreprises doivent documenter les activités de traitement des données qu'elles réalisent. Ce registre doit contenir des informations détaillées sur les finalités du traitement, les catégories de données traitées, les destinataires des données, et les mesures de sécurité mises en place.
3 - Mise en place de mesures de sécurité
Les organisations doivent garantir la sécurité des données personnelles à travers des mesures techniques et organisationnelles appropriées, telles que le cryptage, l’anonymisation ou la pseudonymisation des données.
4 - Notification des violations de données
En cas de violation des données personnelles, les entreprises ont l’obligation de notifier la CNIL dans les 72 heures suivant la découverte de l'incident. Si la violation est susceptible de poser un risque élevé pour les droits et libertés des personnes concernées, elles doivent également en informer ces dernières.