Cela fait un peu moins d’un an que le RGPD est entré en vigueur dans l’UE et il a déjà fait des émules dans d’autres pays qui essaient d’améliorer leurs lois locales/nationales sur la protection de la vie privée. Dans l’un de nos articles de blog précédents, nous avons par exemple évoqué la façon dont l’Australie contraint les entreprises à « informer les personnes dont les renseignements personnels sont impliqués dans une atteinte à la confidentialité des données susceptible de causer un préjudice grave ».
Le projet de loi néo-zélandais sur la protection de la vie privée prévoit également l’introduction d’un système obligatoire de notification des atteintes à la confidentialité des données et, s’il est adopté, les entreprises locales devront y être préparées et capables de satisfaire aux nouvelles exigences. Le non-respect de ces exigences pourrait entraîner pour l’entreprise une amende maximale de 10 000 $ et les personnes dont les données ont fait l’objet d’une atteinte à la vie privée pourraient également demander des dommages-intérêts au Tribunal des droits de l’homme pour ingérence dans la vie privée.
Que considère-t-on comme une atteinte à la confidentialité des données ?
En vertu du projet de loi, une « atteinte à la vie privée » désigne tout accès non autorisé à des renseignements personnels ou toute divulgation, modification, perte ou destruction non autorisés de ces renseignements, ainsi que toute mesure qui empêche l’organisme d’y accéder de façon temporaire ou permanente.
Comment se préparer aux nouvelles exigences du règlement sur la protection de la vie privée ?
Pour être en mesure de satisfaire à ces exigences, le moment est idéal pour examiner et mettre à jour les politiques, procédures et bonnes pratiques de votre entreprise. Voici plusieurs questions clés auxquelles vous devez être en mesure de répondre :
- Votre entreprise collecte-t-elle ou utilise-t-elle des renseignements personnels ? Si oui, pouvez-vous donner des précisions concernant ces renseignements personnels ?
- Votre entreprise a-t-elle mis en place des contrôles de sécurité appropriés ?
- Vos employés savent-ils identifier une atteinte à la confidentialité des données ?
- Votre entreprise dispose-t-elle d’une politique et d’une procédure concernant les atteintes à la confidentialité des données ?
- Votre entreprise conserve-t-elle un registre détaillé de l’endroit où l’information est stockée, des personnes qui y ont accès, de la durée de conservation et de la façon dont elle est détruite?
- Votre entreprise évalue-t-elle les fournisseurs tiers ou les responsables du traitement des données au regard de leurs obligations en matière de protection de la vie privée ?
Enterprise Risk Management (ERM) vous aide à mettre en œuvre un inventaire et un registre des risques pour les flux de données à l’échelle de l’entreprise. Ce système permet également d’automatiser le processus de la protection de la vie privée et de la sécurité (intégration par défaut dans la conception) ainsi que des évaluations des risques et des impacts de la protection des données.
La lecture et la compréhension des lois, des règlements et des normes sont impératives. Voici quelques conseils essentiels issus de notre collaboration avec nos clients et des expériences qu’ils ont pu faire avec le RGPD au cours des 15 derniers mois :
Examen
Examinez les politiques, procédures et lignes directrices existantes pour vous assurer qu’elles sont conformes à la nouvelle loi sur la protection des données privées.
Implémentation
Intégrer les exigences en matière de protection de la vie privée et de sécurité dès la conception peut vous faire gagner beaucoup de temps. Toutefois, cela requiert certains outils et compétences.
Suivi de vos biens
Assurez-vous de bien connaître vos biens. Gardez un œil sur les données que vous recueillez, stockez, utilisez et surtout avec qui vous les partagez. L’inventaire des biens, le mappage des données et le flux de données ont été des priorités absolues pour les clients qui ont dû se conformer aux exigences du RGPE dans l’UE ; c’est aussi un bon moyen d’identifier les risques potentiels du transfert de données avant sa mise en œuvre.
Évaluation
Les évaluations de la confidentialité, de la sécurité et de l’impact des risques font partie intégrante de la protection de la vie privée et de la sécurité dès la conception. Même si une ressource ou un nouveau projet n’implique pas de renseignements personnels, il est recommandé de réaliser une évaluation d’impact et de faire preuve de soin et de diligence.
Agilité
Enfin, assurez-vous de disposer d’un processus simple d’utilisation (et rapide) pour répondre aux demandes d’accès des personnes concernées, lesdites Data Subject Access Requests (DSAR), également connues sous le nom de Freedom of Information Act Requests (demandes d’informations soumises conformément au Freedom of Information Act). Avec tous ces nouveaux règlements relatifs à la protection de la vie privée, les particuliers ont plus de droits/libertés quant à la façon dont les informations les concernant sont utilisées par les entreprises.
Cela dit, cela peut aussi entraîner des coûts supplémentaires pour l’entreprise si une personne exerce son droit et soumet une demande DSAR. Par exemple, le coût de la demande d’accès à l’information de James Titcombe auprès du Nursing and Midwifery Council a été estimé à environ 239 871,85 £.
Étapes suivantes
Assurer une sécurité optimale de vos données exige le déploiement d’efforts considérables, surtout lorsqu’il s’agit de grandes entreprises. Compliance Guardian d’AvePoint vous offre de puissants outils d’identification et d’évaluation des risques pour vous aider à prévenir les menaces potentielles. Apprenez à gérer les risques pour les entreprises ici.
Vous voulez plus d’informations sur l’évolution du RGPD ? N’attendez plus pour vous abonner à notre blog !
