RGPD : Que faut-il savoir ?

Les organisations doivent se conformer aux exigences du RGPD pour protéger les données des utilisateurs, prévenir toute utilisation abusive, obtenir l'autorisation éclairée des utilisateurs et s'exposer à de sévères sanctions financières en cas de non-conformité. Consultez cet article pour obtenir des informations vitales.

Depuis l'entrée en vigueur du Règlement général sur la protection des données (RGPD) de l'UE le 25 mai 2018, des sanctions réelles et sévères ont été appliquées. Alors, qu'est-ce que le RGPD, à qui s'applique-t-il et quelles sont les conséquences d'une infraction à ses règles ?

Vous pouvez lire les règlements officiels et essayer de comprendre ce qu'ils signifient, mais c'est approximatif. C'est plein de petits joyaux comme celui-ci:

« Un groupe d'entreprises devrait comprendre une entreprise contrôlante et ses entreprises contrôlées, l'entreprise contrôlante devant être celle qui peut exercer une influence dominante sur les autres entreprises. » — Article 37 du RGPD

… Vous ne pouvez pas inventer ce truc!

J'ai donc pensé qu'il serait utile de le décomposer, au moins d'un point de vue logiciel, et de voir quels sont les problèmes clés que vous devriez comprendre. Si vous voyez que cela va vous affecter, vous voudrez certainement approfondir votre réflexion. Le RGPD finira par toucher de nombreuses parties de votre organisation, et vous voudrez bien faire les choses.

Le RGPD exige des organisations qu'elles s'assurent que les données des utilisateurs sont bien protégées, qu'elles ne sont pas utilisées à mauvais escient, que les utilisateurs reçoivent un consentement éclairé et que la non-conformité est imposée par de lourdes sanctions financières. Pour plus d'informations, lisez la suite.

Qu’est-ce que le RGPD ?

Le RGPD oblige les organisations à s'assurer que les données des utilisateurs sont bien protégées et ne sont pas utilisées à mauvais escient. Les utilisateurs obtiennent un consentement éclairé. Le non-respect entraîne de lourdes sanctions financières

Le RGPD consiste à protéger les données des citoyens. Cela signifie protéger l'accès aux données, ne pas stocker les données dont vous n'avez pas besoin, crypter les données personnelles et anonymiser les données lorsque cela est possible. En d'autres termes, toutes les mesures que vous pouvez prendre pour limiter la possibilité d'une violation de données et son impact lorsqu'une violation se produit. En outre, la confidentialité comprend les utilisations non autorisées des données, comme le suivi des utilisateurs sans leur consentement et toute autre utilisation des données sans consentement explicite.

D'après leur site Web lui-même, le RGPD « a été conçu pour harmoniser les lois sur la confidentialité des données à travers l'Europe, pour protéger et responsabiliser tous les citoyens de l'UE en matière de confidentialité des données et pour remodeler la manière dont les organisations de la région abordent la confidentialité des données. »

Le RGPD prend en compte le « droit à l'oubli » général de l'UE, ce qui signifie que si quelqu'un souhaite que ses données soient supprimées de votre système, il doit le faire dans un délai raisonnable. De plus, des obligations de signalement strictes sont imposées. Une violation de données ne peut être dissimulée, comme cela s'est produit à plusieurs reprises récemment aux États-Unis.

Quelles sont les sanctions en cas de non-respect du RGPD ?

Amendes. Ce sont les amendes qui arrivent. L'UE peut vous imposer une amende quotidienne en cas de violations continues. Le montant de l’amende peut être basé sur les revenus de l’organisation mère, il peut donc être plus élevé que vous ne le pensez. Les amendes varient en fonction des réglementations enfreintes et peuvent aller jusqu'à 20 millions d'euros. Assurez-vous que vous pouvez prouver votre conformité.

« Afin de démontrer le respect du présent règlement, le responsable du traitement ou le sous-traitant devrait tenir un registre des activités de traitement sous sa responsabilité. » — Article 82 du RGPD

CCPA et RGPD

Le California Consumer Privacy Act (CCPA) a des objectifs similaires au GPDR, mais diffère principalement par sa portée puisque le CCPA est spécifique à la Californie et le GPDR à l'UE. En résumé, les principales différences sont :

• Juridiction. Les deux lois traitent de la vie privée, mais leurs juridictions diffèrent.
• Portée. Le GPDR s’applique uniquement aux particuliers alors que le CCPA fait la distinction de s’appliquer aux consommateurs et aux ménages.
• Application. Le RGPD a une portée beaucoup plus large et s'étend à toutes les entités susceptibles d'utiliser des données personnelles. Le CCPA, quant à lui, ne concerne que les entreprises opérant auprès des résidents, « consommateurs » et « ménages » de Californie.
• Spécificités des données personnelles. Il existe certains aspects spécifiques des données personnelles que le CCPA ne traite pas en détail, tels que les cookies, le transfert de données et le consentement.
• S'inscrire ou se désinscrire. L’un des principes de base du RGPD est que les individus ont la possibilité d’autoriser l’utilisation de leurs données, la confidentialité étant donc toujours la valeur par défaut. Le CCPA s'appuie sur la désinscription pour les consommateurs, la valeur par défaut étant que leurs données peuvent être utilisées jusqu'à ce qu'ils prennent eux-mêmes les mesures de désinscription. Si vous vous inscrivez, cela est conforme aux deux ensembles de réglementations.
• Échelle des sanctions d'exécution. Les sanctions du CCPA sont relativement faibles par rapport aux cas d’application du RGPD qui ont fait l’objet de poursuites. Le plus gros règlement GPDR, avec Meta, s'élevait à 1.2 milliard d'euros.

Exemples d’application du CCPA

Le ministère de la Justice de l'État de Californie publie son Exemples de cas d’application du CCPA. Bien que les détails des noms des entreprises et des sanctions ne soient pas affichés, il est clair que l'application change la façon dont certaines entreprises opèrent en ligne. Voici quelques exemples :

• Programmes de fidélité des détaillants en ligne qui collectent des données personnelles avec la promesse de réductions ou d'autres avantages. Dans ces cas, les consommateurs n’étaient pas informés que leurs données étaient collectées, utilisées ou vendues.
• Une entreprise de dispositifs médicaux vendait des données sur des patients sans notification ni autorisation.
• De nombreuses entreprises ajoutent un lien « Ne pas vendre mes informations personnelles », mais dans certains cas, les choix sont déroutants ou ne fonctionnent pas correctement.
• Les entreprises ont du mal à prendre en charge correctement la demande et la suppression de données personnelles.
  Le CCPA prévoit des pénalités de 2500 7500 $ pour chaque violation non intentionnelle et de XNUMX XNUMX $ pour les violations intentionnelles. Cependant, le la menace de poursuites judiciaires à la consommation pose un risque plus important.

Exemples d'application du RGPD

L’application du RGPD a généralement une portée beaucoup plus large que celle du CCPA et du exemples montrent la grande différence dans l’ampleur et la portée des deux réglementations :

• Meta a été condamnée à une amende de 1.2 milliard d'euros (1.3 milliard de dollars) en 2023 pour avoir transféré des données collectées auprès des utilisateurs de Facebook dans l'UE vers les États-Unis, en violation des directives de transfert international du RGPD.
• Amazon a été condamné à une amende de 746 millions d'euros (780.9 millions de dollars) en 2021 pour avoir suivi les données des utilisateurs sans obtenir le consentement approprié des utilisateurs ni fournir les moyens de se désinscrire de ce suivi.
• WhatsApp a été condamné à une amende de 225 millions d'euros (247 millions de dollars) en 2021 pour des politiques de confidentialité peu claires et un manque de transparence dans la manière dont il utilisait les données des utilisateurs.
• Google Irlande a été condamné à une amende de 90 millions d'euros (99 millions de dollars) en 2021 pour ne pas avoir offert aux utilisateurs un moyen simple de refuser les cookies en vertu du RGPD et de la directive ePrivacy.

Le non-respect du RGPD peut entraîner des sanctions graves et sévères. Le cadre de pénalité est basé sur un maximum de 20 millions d’euros ou 4 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.

Qui doit suivre les réglementations RGPD ?

Bien sûr, les entreprises de l'UE doivent respecter le RGPD, mais il s'avère que même si vous êtes situé ailleurs, si vous avez des clients dans l'UE, vous êtes également soumis au RGPD.

Si vous ne stockez aucune information personnelle, ce sera facile, mais toute personne disposant de données personnelles de l'UE doit suivre les directives. Il en va de même si vous avez des employés dans l'UE.

Cela devient parfois un peu délicat si vous partagez des données utilisateur ou si vous obtenez des données utilisateur ailleurs. Si quelqu'un exerce le droit d'être oublié, vous devez rechercher tous ces partages et effacer les données partout. Ainsi, même si vous recevez des données de quelqu'un d'autre qui transmet des données personnelles de l'UE, vous pouvez être soumis aux directives.

Aperçu de la réglementation RGPD

Dans le but de renforcer le contrôle et les droits des individus sur leurs données personnelles, le règlement s'applique à toutes les entités suivantes basées dans l'UE et l'EEE (Espace économique européen, qui comprend l'Islande, le Liechtenstein et la Norvège) :

• Toute organisation
• Le responsable du traitement qui collecte les données des individus
• Le sous-traitant, qui est une organisation qui traite les données pour le compte d'un responsable du traitement
• La personne concernée, qui est une personne

Un aspect essentiel du RGPD est son application aux organisations établies hors de l'UE si elles collectent ou traitent des données personnelles de toute personne résidant dans l'UE/EEE, qu'elle en soit citoyenne ou non, et de tout citoyen de l'UE/EEE, quel que soit son lieu de résidence. Comme nous l'avons vu, les sanctions sont lourdes et sont souvent appliquées aux entreprises technologiques hors de l'UE. Malheureusement, le champ d'application du RGPD est vaste et est considéré comme « peu précis » par les experts en protection de la vie privée. La conformité est particulièrement complexe pour les petites et moyennes entreprises.

Concepts et définitions clés

Les principales définitions du RGPD concernent les individus et les organisations qui collectent, traitent, stockent et transfèrent leurs données personnelles.

• Données personnelles. Toute information relative à une personne spécifique qui peut être identifiée, directement ou indirectement, est considérée comme une donnée personnelle. Par exemple, les adresses e-mail et les noms sont personnels, tout comme les coordonnées géographiques, le sexe, l'origine ethnique, les informations biométriques, les opinions politiques, les cookies Web et les convictions religieuses. La définition peut également s’appliquer aux données anonymisées s’il est raisonnablement facile d’identifier une personne à partir de celles-ci.
• Traitement de l'information. Toute action entreprise sur les données, qu'elle soit automatisée ou manuelle, est appelée traitement de données. Cela inclut les activités sur les données pour la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'utilisation et l'effacement.
• Personne concernée. La personne dont les données sont traitées est la personne concernée. Dans la plupart des cas, il s’agit d’utilisateurs de votre produit ou de visiteurs de votre site Web.
• Processeur de données. Toute organisation ou entité qui traite des données pour le compte du responsable du traitement.

Portée et application du RGPD

Le RGPD vise à protéger les données des citoyens et résidents de l'UE. Il s'applique à toute organisation traitant ces données, qu'elle soit basée ou non dans l'UE. C'est ce qu'on appelle « l'effet extraterritorial ».

Selon l'article 3 du RGPD :

• Le règlement s'applique au traitement des données à caractère personnel par un établissement situé dans l'UE, quel que soit le lieu où le traitement a lieu.
• Elle s'applique également au traitement des données personnelles des personnes concernées dans l'UE par un responsable du traitement ou un sous-traitant non établi dans l'UE, si les activités de traitement sont liées à l'offre de biens ou de services à ces personnes concernées dans l'UE ou à la surveillance de leur comportement au sein de l'UE. UE.
• Le règlement s'applique au traitement des données personnelles par un responsable du traitement non établi dans l'UE, mais dans un lieu où le droit des États membres s'applique en vertu du droit international public.

Le RGPD s'applique aux organisations non européennes qui proposent des biens ou des services à des personnes dans l'UE ou qui surveillent leur comportement en ligne. Les régulateurs recherchent des indices pour déterminer si l’organisation a pour objectif d’offrir des biens et des services aux citoyens de l’UE.

Par exemple, si une organisation utilise des outils Web pour suivre les cookies ou les adresses IP des personnes qui visitent son site Web depuis les pays de l'UE, elle relève alors du champ d'application du RGPD.

Il existe des exceptions, notamment pour les « activités purement personnelles ou domestiques », et les organisations de moins de 250 employés peuvent être exclues. Malgré cela, le RGPD ne s'applique qu'à toutes les organisations exerçant une « activité professionnelle ou commerciale », de sorte que de nombreuses petites et moyennes entreprises pourraient ne pas être exemptées du RGPD.

Consentement en vertu du RGPD

Consentement et transparence

Le RGPD stipule que les utilisateurs doivent consentir à la collecte de données les concernant et que ce consentement repose sur un « acte positif clair ». Un consentement clair et positif signifie que l'utilisateur doit effectuer une action pour accepter, plutôt que la méthode habituelle du « vous êtes inscrit sauf si vous vous désinscrivez ».

« Pour que le consentement soit éclairé, la personne concernée doit au moins connaître l'identité du responsable du traitement et les finalités du traitement auquel les données à caractère personnel sont destinées. » — Article 42 du RGPD

Sur le Web, un bon exemple est un formulaire d'inscription qui indique que les données vont être collectées, quelles sont les données, comment elles seront utilisées, comment se désinscrire plus tard (ou être oublié), puis l'utilisateur doit faire quelque chose pour accepter, comme cliquer sur une case à cocher. Les jours des cases pré-cochées ne s'appliquent plus - le RGPD interdit spécifiquement ces méthodes actuellement typiques:

« Le silence, les cases pré-cochées ou l'inactivité ne devraient donc pas constituer un consentement. » — Article 32 du RGPD

L'utilisation des données doit avoir un but lié à la raison pour laquelle les données sont collectées et doit être expliquée à l'utilisateur:

« Il devrait être transparent pour les personnes physiques que les données à caractère personnel les concernant sont collectées, utilisées, consultées ou traitées d'une autre manière et dans quelle mesure elles sont ou seront traitées. » — Article 39 du RGPD

Contrôle des données personnelles

Les citoyens de l'UE bénéficient d'un contrôle total sur leurs données personnelles, y compris l'accès, le transfert, la rectification et le droit à l'oubli, notamment :

« mécanismes permettant de demander et, le cas échéant, d'obtenir gratuitement, notamment, l'accès aux données à caractère personnel, leur rectification ou leur effacement, ainsi que l'exercice du droit d'opposition. » — Article 59 du RGPD

Le droit d’accès à ses données repose sur l’article 63 du RGPD :

« Une personne concernée devrait avoir le droit d'accéder aux données personnelles »,

Alors que le droit de faire corriger les données est prévu à l'article 65 du RGPD :

« Une personne concernée devrait avoir le droit de faire rectifier les données personnelles la concernant. »

Pensez-y la prochaine fois que vous affronterez une agence d'évaluation du crédit, et vous souhaiterez que cela s'applique à vos propres données.

Le RGPD garantit en outre qu'il n'y a pas de verrouillage des fournisseurs sur les données des utilisateurs. Le droit de transférer des données est également énuméré:

« La personne concernée devrait également être autorisée à recevoir les données à caractère personnel la concernant qu'elle a fournies à un responsable du traitement dans un format structuré, couramment utilisé, lisible par machine et interopérable, et à les transmettre à un autre responsable du traitement. » — Article 68 du RGPD

Cela signifie que vous pouvez obtenir vos données d'un fournisseur sous une forme numérique raisonnable afin de pouvoir les transférer vers un autre fournisseur.

Le droit à l'oubli s'étend aux organisations avec lesquelles des données ont été partagées:

« Le droit à l'effacement devrait également être étendu de telle sorte qu'un responsable du traitement qui a rendu publiques les données à caractère personnel soit tenu d'informer les responsables du traitement qui traitent ces données à caractère personnel d'effacer tout lien vers ces données à caractère personnel, ou toute copie ou réplication de celles-ci. » — Article 66 du RGPD

En d'autres termes, l'effacement doit en cascade.

Si vous obtenez des données sur une personne auprès d'une autre organisation et que vous comptez les utiliser et/ou les stocker, vous devez en informer cette personne – afin qu'elle puisse donner son consentement éclairé (voir les articles 60,61 et XNUMX du RGPD). Cela est également vrai si vous décidez d'utiliser les données d'une manière qui n'était pas incluse dans le consentement initial.

« Lorsque le responsable du traitement a l'intention de traiter les données à caractère personnel pour une finalité autre que celle pour laquelle elles ont été collectées, il devrait fournir à la personne concernée, avant ce traitement ultérieur, des informations sur cette autre finalité et d'autres informations nécessaires. » — Article 61 du RGPD

Et méfiez-vous des algorithmes entièrement automatisés comme les demandes de prêt:

« La personne concernée devrait avoir le droit de ne pas faire l'objet d'une décision, qui peut inclure une mesure, évaluant des aspects personnels la concernant qui est basé uniquement sur un traitement automatisé et qui produit des effets juridiques le concernant ou l'affecte de manière significative de manière similaire, tels que le refus automatique d'une demande de crédit en ligne ou les pratiques de recrutement en ligne sans aucune intervention humaine. » — Article 71 du RGPD

Si vous utilisez des algorithmes entièrement automatisés pour prendre des décisions, celui-ci peut vous tromper.

Protection des données — Gérer et défendre

Une fois que vous possédez les données d'un tiers, vous devez les gérer et les protéger correctement. La clé réside dans ce que l'on appelle « PInformations personnellement identifiables(PII). La définition des PII est très large : par exemple, un cookie (ou un IE) identifie directement ou indirectement une personne, y compris son adresse IP. Toute analyse web implique la collecte de PII et doit être rigoureuse. est conforme au RGPD.

L'un des aspects clés de la gestion des informations personnelles dans le RGPD est le concept de sécurisé par conception. Le règlement stipule:

« Le responsable du traitement devrait adopter des politiques internes et mettre en œuvre des mesures qui répondent notamment aux principes de protection des données dès la conception et de protection des données par défaut. » — Article 78 du RGPD

La méthodologie sécurisée dès la conception est une manière de dire que vous ne pouvez pas simplement tester la sécurité et la protection des données dans votre application. Plutôt que de créer du code et d'essayer de le tester en équipe rouge, vous devez d'abord concevoir l'application pour qu'elle soit sécurisée, de sorte que des éléments tels que le cryptage soient désactivés par défaut uniquement en cas d'exception approuvée. Sécurisé par conception Cela signifie également prendre au sérieux l'analyse de code statique, en mettant l'accent sur les normes d'ingénierie logicielle et les règles d'analyse statique « préventives ».

Et si vous collectez des données liées à la santé, vous devez faire très attention pour les sécuriser (voir article 53 du RGPD), bien qu'il existe des dispositions pour certains types de recherche s'il s'agit de santé plutôt que d'opportunités de marketing (voir l'article 54 du RGPD). ).

La conservation des données est un autre problème important lors de la collecte et du stockage des informations personnelles. Le principe principal ici est de ne pas conserver les données plus longtemps que nécessaire:

« …le droit d'obtenir l'effacement de ses données personnelles et de ne plus les traiter lorsque les données personnelles ne sont plus nécessaires » — Article 65 du RGPD

En d’autres termes, les données dont vous n’avez besoin qu’à des fins transitoires, comme la réalisation d’une transaction, ne devraient exister que pendant la durée requise. Après cela, vous devez purger les données plutôt que de les stocker pour plus de commodité ou pour des analyses futures.

Il est important de montrer que vous avez également besoin que les données soient collectées :

« une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce qu'un traitement à cette fin puisse avoir lieu » — Article 47 du RGPD

Et plus tard, vous ne pouvez pas simplement utiliser les données pour autre chose, à moins que quelque chose d'autre soit lié à l'utilisation originale des données et / ou au traitement (analyse) des données.

« Le traitement des données à caractère personnel à des fins autres que celles pour lesquelles elles ont été initialement collectées ne devrait être autorisé que si le traitement est compatible avec les finalités pour lesquelles les données à caractère personnel ont été initialement collectées. » — Article 50 du RGPD

Les principes du RGPD

Les principes clés de protection des données du RGPD sont énumérés ci-dessous.

Légalité, équité et transparence

Le traitement doit être licite, équitable et transparent pour la personne concernée.

Limitation des finalités

Vous devez traiter les données pour les finalités légitimes spécifiées explicitement à la personne concernée lors de leur collecte.

Minimisation des données

Vous ne devez collecter et traiter que la quantité de données absolument nécessaire aux fins spécifiées.

Précision

Vous devez maintenir les données personnelles exactes et à jour.

Limite de stockage

Vous ne pouvez conserver les données d’identification personnelle que pendant la durée nécessaire aux fins spécifiées.

Intégrité et confidentialité

Le traitement doit être effectué de manière à garantir une sécurité, une intégrité et une confidentialité appropriées (par exemple en utilisant le cryptage).

Responsabilité

Le responsable du traitement est responsable de pouvoir démontrer la conformité au RGPD avec tous ces principes.

Droits clés en vertu du RGPD

Un aspect important du RGPD consiste à définir et à faire respecter les droits des individus concernant leur utilisation de sites Web, de logiciels et de produits susceptibles de collecter des informations personnelles.

Le droit d'être informé

Les organisations doivent clairement informer et documenter comment et quelles données personnelles sont utilisées.

Le droit de rectification

Les individus ont le droit de corriger des informations personnelles inexactes.

Le droit d'accès

Toutes les données personnelles sont accessibles aux particuliers et peuvent être demandées sans frais.

Le droit à l’oubli (effacement)

Les individus peuvent demander et obtenir que toutes leurs données soient supprimées définitivement.

Le droit de limiter le traitement de vos données

Les particuliers peuvent demander la limitation du traitement de leurs données ou la suppression de leurs données.

Le droit à la portabilité des données

Signifie que toutes les données peuvent être obtenues auprès de l’organisation et utilisables par l’individu.

Le droit d'opposition

Les particuliers peuvent s'opposer à ce que leurs données soient utilisées à des fins de marketing.

Droits concernant le profilage et la prise de décision automatisés

Cela limite la mesure dans laquelle les données d'un individu peuvent être utilisées par des processus automatisés, y compris l'IA.

Violations de données et RGPD

Qu’est-ce qui constitue une violation de données ?

Le GDPR définit une violation de données comme une « violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles transmises, stockées ou traitées d'une autre manière, de manière accidentelle ou illicite ». Cette définition s'applique aux causes accidentelles et intentionnelles.

En termes plus simples, une violation de données en vertu du RGPD se produit lorsqu'il y a un incident de sécurité qui compromet l'intégrité ou la confidentialité des données personnelles. Cela pourrait être dû à des actions accidentelles ou illégales entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès à des données personnelles.

Réponse procédurale à une violation de données

Le RGPD contient des directives spécifiques concernant les violations de données. Selon les articles 33 et 34 du RGPD :

Une organisation doit signaler une violation de données à une autorité de protection des données (DPA), également appelée autorité de contrôle (AS), s'il se produit un incident entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal de données. , des données personnelles qui entraînent un risque potentiel pour les droits et libertés des personnes.

Si la violation pourrait entraîner une perte de contrôle sur leurs données personnelles, une discrimination, une usurpation ou une fraude d'identité, une perte financière, un renversement non autorisé de la pseudonymisation, une atteinte à la réputation, une perte de confidentialité des données personnelles protégées par le secret professionnel, ou tout autre problème économique ou désavantage social pour la personne physique concernée, l'entreprise est tenue de signaler l'incident.

Signalement obligatoire des violations

Les exigences de notification des violations de données sont obligatoires et urgentes en vertu du RGPD. Les organisations doivent signaler les violations de données personnelles à l’autorité de contrôle compétente dans les 72 heures suivant la prise de conscience de la violation.

Le fait de ne pas informer une autorité de protection des données d'une violation peut entraîner une amende de 10 millions d'euros (11.3 millions de dollars) ou 2 % du chiffre d'affaires mondial d'une entreprise.

Conformité GDPR

La conformité au RGPD signifie qu'une organisation répond aux exigences en matière de traitement des données personnelles tel que défini dans la loi. Compte tenu de son statut juridique et des sanctions sévères, la conformité nécessite une attention particulière de la part des organisations qui collectent, traitent et stockent des informations personnelles, ce qui inclut la plupart des sites Web commerciaux, mais également les applications et les produits physiques.

Étapes vers la conformité au RGPD

Les aspects clés que les organisations doivent adopter sont les suivants :

• Le consentement à l’utilisation des données personnelles est toujours une option d’adhésion et non de refus. Confidentialité par défaut, à chaque fois.
• Assurez-vous toujours que les visiteurs du site Web, les applications et les utilisateurs de produits sont informés des données collectées.
• Obtenir le consentement explicite des utilisateurs pour cette collecte d'informations.
• Informer les visiteurs en temps opportun si l'une de leurs données personnelles détenues par le site est violée.
• Réaliser une évaluation mandatée de la situation du site la sécurité des données.
• Embaucher un délégué à la protection des données (DPD) ou du personnel dédié pour remplir cette fonction.
• Être capable de démontrer qu'il existe des politiques et des procédures en place.
• Un examen régulier de la conformité des politiques et des procédures garantit leur conformité.

Conseils importants pour rester conforme au RGPD

Le RGPD a une large portée. Il existe aujourd’hui certains principes clés que les développeurs de logiciels peuvent suivre pour réduire les frais généraux et la charge de travail nécessaires à la conformité.

Voici quelques premières étapes que les développeurs de logiciels peuvent suivre pour garantir la conformité au RGPD.

• Formation. Il est essentiel que tout le monde dans une organisation comprenne ce que constituent les données personnelles. Les données personnelles sont toute information relative à une personne vivante identifiée ou identifiable. Comprenez les principes clés du RGPD et comment ils s'appliquent à votre application ou produit.
• Confidentialité par défaut. L'utilisateur doit disposer de paramètres offrant une confidentialité maximale lorsqu'il commence à travailler avec votre logiciel. Le niveau de protection doit rester inchangé si l'utilisateur ne modifie pas les paramètres.
• Confidentialité intégrée. Introduisez la confidentialité dans votre logiciel dès le début, avant même que la première information personnelle n’entre dans le système.
• Rationalisez les données privées. La meilleure solution pour un avenir soucieux de la vie privée est de collecter uniquement le strict minimum de données personnelles. Si vous n’en avez pas besoin, ne le récupérez pas.
• Cryptez toutes les données personnelles. Le cryptage réduit la possibilité d'exposer des données privées lors du transfert ou du stockage. Si possible, utilisez le cryptage de bout en bout pour atténuer les dommages d’une éventuelle violation de données.
• Pseudonymisation. Conservez séparément les informations permettant d'identifier la personne et les données sur cette personne. Dissimulez suffisamment les informations personnelles pour que leur identité ne puisse pas être reconstituée.
• Comprendre et planifier les droits des utilisateurs. Soyez conscient des nouveaux droits des personnes concernées, tels que le droit « à l’oubli » et le droit à la portabilité.
• Signalez toute violation de données. Informez les autorités et les utilisateurs de toute violation de données dans les 72 heures suivant leur constatation. Les sanctions en cas de non-respect sont très punitives.
• Embauchez des experts en confidentialité. Chaque grande entreprise devra embaucher ou former un délégué à la protection des données (DPO).
• Documentation de conformité claire et concise. Documentez clairement toutes les manières dont les données des utilisateurs sont collectées et à quoi elles servent. Indiquez à l'utilisateur comment les données sont stockées et qui y a accès, y compris des tiers. Documenter les audits et les examens de conformité.

Alors, que faites-vous ensuite ?

J'aimerais vous dire qu'il existe une solution miracle ou un ensemble d'outils que vous pouvez utiliser pour simplement vous conformer au RGPD, mais ce n'est tout simplement pas le cas. Cependant, Parasoft peut faire beaucoup pour vous aider. Tout d'abord, vous pouvez utiliser notre analyse de code statique moteurs pour Java, C / C ++ et .NET avec de bonnes configurations de sécurité et de confidentialité pour vous assurer que votre code est le plus sécurisé possible. Vous pouvez même les configurer pour appliquer des politiques de codage strictes, comme le chiffrement par défaut.

Deuxièmement, vous pouvez utiliser la virtualisation des services pour effectuer des tests complets de bout en bout, même à un stade précoce sur le bureau du développeur. Pouvoir tester entièrement ce qui arrive aux données sans avoir à disposer de laboratoires de test coûteux facilite grandement la mise en conformité, et en permettant aux développeurs d'effectuer des tests plus approfondis, vous détecterez les problèmes plus tôt lorsqu'ils seront plus faciles et moins chers à résoudre.

Résumé

C'est un peu effrayant, et dans un certain sens, cela devrait l'être, compte tenu des sanctions financières potentielles. Mais dans l’ensemble, ce n’est pas si horrible à moins que votre modèle économique ne soit basé sur le suivi des utilisateurs et la vente de leurs données. Si vous avez un modèle commercial typique et disposez de données clients et de ventes, vous constaterez que la conformité n'est pas un énorme casse-tête et aura l'avantage supplémentaire de rendre l'ensemble de votre système plus sécurisé dans un monde où la fréquence des violations de données augmente. Mettez en place les bonnes politiques, effectuez des tests approfondis et complets et garantissez la confidentialité de vos données grâce à une analyse de code statique solide.