Cinq choses que vous devez savoir sur le RGPD
Par Arthur Hicken
1 février 2018
8 min lire
Le RGPD exige des organisations qu'elles s'assurent que les données des utilisateurs sont bien protégées, qu'elles ne sont pas utilisées à mauvais escient, que les utilisateurs reçoivent un consentement éclairé et que la non-conformité est imposée par de lourdes sanctions financières.
L'hiver arrive. Le Règlement général de l'UE sur la protection des données (GDPR) commencera à être appliqué le 25 mai 2018. En fait, si vous allez sur la page Web GDPR, vous y verrez un compte à rebours jusqu'à l'horloge d'application. C'est réel et c'est pour bientôt. Et alors is RGPD, à qui s'applique-t-il et que se passe-t-il si vous enfreignez ses réglementations?
Vous pouvez lire les règlements officiels et essayer de comprendre ce qu'ils signifient, mais c'est approximatif. C'est plein de petits joyaux comme celui-ci:
«Un groupe d'entreprises devrait couvrir une entreprise contrôlante et ses entreprises contrôlées, l'entreprise contrôlante devant être l'entreprise qui peut exercer une influence dominante sur les autres entreprises» (article 37 du RGPD)
… Vous ne pouvez pas inventer ce truc!
J'ai donc pensé qu'il serait utile de le décomposer, au moins d'un point de vue logiciel, et de voir quels sont les problèmes clés que vous devez comprendre. Si vous voyez que cela va vous affecter, vous voudrez certainement plonger plus profondément. Le RGPD finira par toucher de nombreuses parties de votre organisation et vous voudrez bien faire les choses.
Le RGPD exige des organisations qu'elles s'assurent que les données des utilisateurs sont bien protégées, qu'elles ne sont pas utilisées à mauvais escient, que les utilisateurs reçoivent un consentement éclairé et que la non-conformité est imposée par de lourdes sanctions financières. Pour plus d'informations, lisez la suite.
Qu'est-ce que GDPR?
Le RGPD consiste à protéger les données des citoyens. Cela signifie protéger l'accès aux données, ne pas stocker les données dont vous n'avez pas besoin, crypter les données personnelles et anonymiser les données lorsque cela est possible. En d'autres termes, toutes les mesures que vous pouvez prendre pour limiter la possibilité d'une violation de données et son impact lorsqu'une violation se produit. En outre, la confidentialité comprend les utilisations non autorisées des données, comme le suivi des utilisateurs sans leur consentement et toute autre utilisation des données sans consentement explicite.
À partir de leur site Web lui-même, le RGPD «a été conçu pour harmoniser les lois sur la confidentialité des données à travers l'Europe, pour protéger et renforcer la confidentialité des données de tous les citoyens de l'UE et pour remodeler la façon dont les organisations de la région abordent la confidentialité des données.»
Le RGPD prend également en compte le «droit à l'oubli» général de l'UE, ce qui signifie dans ce contexte que si quelqu'un souhaite que ses données soient supprimées de votre système, cela doit être fait dans un délai raisonnable. De plus, il existe des exigences de signalement strictes - vous ne pouvez pas avoir une violation et la cacher, comme cela s'est produit plusieurs fois récemment aux États-Unis.
Jetons un coup d'œil aux 5 principaux problèmes ci-dessous.
1. Qui doit suivre les réglementations GDPR?
Bien sûr, les entreprises de l'UE doivent suivre le RGPD, mais il s'avère que même si vous êtes situé ailleurs, si vous avez des clients dans l'UE, vous êtes également soumis au RGPD.
Si vous ne stockez aucune information personnelle, ce sera facile, mais toute personne disposant de données personnelles de l'UE doit suivre les directives. Il en va de même si vous avez des employés dans l'UE.
Cela devient parfois un peu délicat si vous partagez des données utilisateur ou si vous obtenez des données utilisateur ailleurs. Si quelqu'un exerce le droit d'être oublié, vous devez rechercher tous ces partages et effacer les données partout. Ainsi, même si vous recevez des données de quelqu'un d'autre qui transmet des données personnelles de l'UE, vous pouvez être soumis aux directives.
2. Consentement et transparence
Le RGPD stipule que les utilisateurs doivent consentir à ce que toutes les données les concernant soient collectées et que ce consentement est basé sur «un acte affirmatif clair». Clarté et affirmative signifie que l'utilisateur doit effectuer une action pour s'inscrire plutôt que la méthodologie courante «vous êtes à moins que vous ne vous désinscriviez».
«Pour que le consentement soit informé, la personne concernée doit avoir au moins connaissance de l'identité du responsable du traitement et des finalités du traitement auquel les données à caractère personnel sont destinées.» (Article 42 du RGPD)
Sur le Web, un bon exemple est un formulaire d'inscription qui indique que les données vont être collectées, quelles sont les données, comment elles seront utilisées, comment se désinscrire plus tard (ou être oublié), puis l'utilisateur doit faire quelque chose pour accepter, comme cliquer sur une case à cocher. Les jours des cases pré-cochées ne s'appliquent plus - le RGPD interdit spécifiquement ces méthodes actuellement typiques:
"Le silence, les cases pré-cochées ou l'inactivité ne doivent donc pas constituer un consentement." (Article 32 du RGPD).
L'utilisation des données doit avoir un but lié à la raison pour laquelle les données sont collectées et doit être expliquée à l'utilisateur:
"Il devrait être transparent pour les personnes physiques que les données à caractère personnel les concernant sont collectées, utilisées, consultées ou autrement traitées et dans quelle mesure les données à caractère personnel sont ou seront traitées" (Article 39 du RGPD)
3. Contrôle des données personnelles
Les citoyens de l'UE bénéficient d'un contrôle total sur leurs données personnelles, y compris l'accès, le transfert, la correction et le droit à l'oubli, y compris "mécanismes pour demander et, le cas échéant, obtenir, gratuitement, en particulier, l'accès et la rectification ou l'effacement des données à caractère personnel et l'exercice du droit d'opposition. » (Article 59 du RGPD)
Le droit d'accès à ses données est basé sur l'article 63 du RGPD, «Une personne concernée devrait avoir le droit d'accéder aux données personnelles,"Alors que le droit de faire apporter des corrections aux données est dans l'article 65 du RGPD,"Une personne concernée devrait avoir le droit de faire rectifier les données personnelles la concernant.«Pensez-y la prochaine fois que vous vous battrez contre une agence d'évaluation du crédit, et vous souhaiterez que cela s'applique à vos propres données.
Le RGPD garantit en outre qu'il n'y a pas de verrouillage des fournisseurs sur les données des utilisateurs. Le droit de transférer des données est également énuméré:
«La personne concernée devrait également être autorisée à recevoir des données à caractère personnel la concernant qu'elle a fournies à un responsable du traitement dans un format structuré, couramment utilisé, lisible par machine et interopérable, et à les transmettre à un autre responsable du traitement.» (Article 68 du RGPD)
Cela signifie que vous pouvez obtenir vos données d'un fournisseur sous une forme numérique raisonnable afin de pouvoir les transférer vers un autre fournisseur.
Le droit à l'oubli s'étend aux organisations avec lesquelles des données ont été partagées:
«Le droit à l'effacement devrait également être étendu de telle manière qu'un responsable du traitement qui a rendu les données à caractère personnel publiques devrait être obligé d'informer les responsables du traitement qui traitent ces données à caractère personnel d'effacer tout lien, copie ou réplication de ces données à caractère personnel. . » (Article 66 du RGPD)
En d'autres termes, l'effacement doit en cascade.
Si vous obtenez des données sur une personne d'une autre organisation et que vous allez les utiliser et / ou les stocker, vous devez en informer cette personne - afin qu'elle puisse donner son consentement éclairé (voir article 60,61, XNUMX du RGPD). Cela est également vrai si vous décidez d'utiliser les données d'une manière qui n'était pas incluse dans le consentement initial.
«Lorsque le responsable du traitement a l'intention de traiter les données à caractère personnel à une fin autre que celle pour laquelle elles ont été collectées, le responsable du traitement devrait fournir à la personne concernée avant ce traitement ultérieur des informations sur cette autre finalité et d'autres informations nécessaires.» (Article 61 du RGPD)
Et méfiez-vous des algorithmes entièrement automatisés comme les demandes de prêt:
«La personne concernée devrait avoir le droit de ne pas faire l'objet d'une décision, qui peut inclure une mesure, évaluant des aspects personnels la concernant qui est basé uniquement sur un traitement automatisé et qui produit des effets juridiques le concernant ou l'affecte de manière similaire de manière significative, comme le refus automatique d'une demande de crédit en ligne ou les pratiques de recrutement en ligne sans aucune intervention humaine»(Article 71 du RGPD)
Si vous utilisez des algorithmes entièrement automatisés pour prendre des décisions, celui-ci peut vous tromper.
4. Protection des données - gérer et défendre
Une fois que vous avez les données de quelqu'un, vous devez les gérer et les protéger correctement. La vraie clé à cela est ce que l’on appelle «PInformations personnellement identifiables» (IPI). PII a une définition très large - par exemple, cookie IE, identifiant directement ou indirectement un individu, y compris l'adresse IP. Si vous faites n'importe quel type d'analyse Web, vous collectez des PII et vous devez vous assurer de ce que vous faites est conforme au RGPD.
L'un des aspects clés de la gestion des informations personnelles dans le RGPD est le concept de sécurisé par conception. Le règlement stipule:
«Le responsable du traitement devrait adopter des politiques internes et mettre en œuvre des mesures qui respectent en particulier les principes de la protection des données dès la conception et de la protection des données par défaut.» (Article 78 du RGPD)
La méthodologie de conception sécurisée est une façon de dire que vous ne pouvez pas simplement tester la sécurité et la protection des données dans votre application. Plutôt que de créer du code et d'essayer de le tester en équipe rouge, vous devez d'abord concevoir l'application pour qu'elle soit sécurisée, de sorte que des éléments tels que le cryptage sont la valeur par défaut à désactiver uniquement en cas d'exception approuvée. La conception sécurisée signifie également prendre au sérieux l'analyse de code statique, en mettant l'accent sur les normes de génie logiciel et les règles d'analyse statique «préventives».
Et si vous collectez des données liées à la santé, vous devez faire très attention pour les sécuriser (voir article 53 du RGPD), bien qu'il existe des dispositions pour certains types de recherche s'il s'agit de santé plutôt que d'opportunités de marketing (voir l'article 54 du RGPD). ).
La conservation des données est un autre problème important lors de la collecte et du stockage des informations personnelles. Le principe principal ici est de ne pas conserver les données plus longtemps que nécessaire:
«… Le droit de faire effacer ses données personnelles et de ne plus les traiter lorsque les données personnelles ne sont plus nécessaires» (Article 65 du RGPD).
En d'autres termes, les données dont vous n'avez besoin qu'à des fins transitoires, comme la réalisation d'une transaction, ne devraient exister que pendant la durée requise. Après cela, vous devez purger les données, plutôt que de les stocker pour plus de commodité ou pour des analyses futures.
Il est important de montrer que vous avez également besoin des données collectées:
«Une personne concernée peut raisonnablement s'attendre au moment et dans le cadre de la collecte des données personnelles à ce que le traitement à cette fin puisse avoir lieu» (Article 47 du RGPD)
Et plus tard, vous ne pouvez pas simplement utiliser les données pour autre chose, à moins que quelque chose d'autre soit lié à l'utilisation originale des données et / ou au traitement (analyse) des données.
«Le traitement des données à caractère personnel à des fins autres que celles pour lesquelles les données à caractère personnel ont été initialement collectées ne devrait être autorisé que si le traitement est compatible avec les finalités pour lesquelles les données à caractère personnel ont été initialement collectées.» (Article 50 du RGPD)
5. Que se passe-t-il en cas de violation?
Amendes. Les amendes sont ce qui arrive. L'UE peut vous infliger une amende quotidienne pour des violations continues. Le montant de l'amende peut être basé sur les revenus de l'organisation mère, il peut donc être plus important que vous ne le pensez. Les amendes varient en fonction des réglementations enfreintes et peuvent atteindre 20 millions d'euros. Assurez-vous que vous pouvez prouver la conformité.
«Afin de démontrer le respect du présent règlement, le responsable du traitement ou le sous-traitant devrait conserver des registres des activités de traitement sous sa responsabilité.» (Article 82 du RGPD)
Alors, que faites-vous ?
J'aimerais vous dire qu'il existe un outil miracle ou un ensemble d'outils que vous pouvez utiliser pour simplement vous conformer au RGPD, mais ce n'est tout simplement pas le cas. Cependant, Parasoft peut faire beaucoup pour vous aider. Tout d'abord, vous pouvez utiliser nos moteurs d'analyse de code statique pour Java, C / C ++ et .NET avec de bonnes configurations de sécurité et de confidentialité pour vous assurer que votre code est le plus sécurisé possible. Vous pouvez même les configurer pour appliquer des politiques de codage strictes, comme le chiffrement par défaut.
Deuxièmement, vous pouvez utiliser la virtualisation des services pour effectuer des tests complets de bout en bout, même à un stade précoce sur le bureau du développeur. Pouvoir tester entièrement ce qui arrive aux données sans avoir à disposer de laboratoires de test coûteux facilite grandement la mise en conformité, et en permettant aux développeurs d'effectuer des tests plus approfondis, vous détecterez les problèmes plus tôt lorsqu'ils seront plus faciles et moins chers à résoudre.
Résumé
C'est un peu effrayant et, dans un certain sens, cela devrait l'être, étant donné les sanctions financières potentielles. Mais dans l'ensemble, ce n'est en fait pas si horrible que si votre modèle commercial est basé sur le suivi des utilisateurs et la vente de leurs données. Si vous avez un modèle commercial typique et avez des données client et des ventes, vous constaterez que la conformité n'est pas un énorme casse-tête et aura l'avantage supplémentaire de rendre votre système global plus sécurisé dans un monde où la fréquence des violations de données augmente. Mettez en place les bonnes politiques, utilisez des tests approfondis et complets et assurez la confidentialité de vos données grâce à une solide analyse statique du code.