En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.
Pour en savoir plus et paramétrer les cookies… Fermer

publicité
RGPD, le dossier pour tout comprendre
Box

Do you speak RGPD ?


Sécurité : Le RGPD repose sur trois grands principes fondateurs : Privacy by design, accountability et co-responsabilité de la chaîne de sous-traitance. Trois concepts juridiques érigés au rang de principes mais qui peuvent sembler nébuleux. Que signifient-ils concrètement ?

Ils font tous partie du vocabulaire RGPD (Règlement général sur la protection des données), qui entrera en vigueur le 25 mai 2018. Le but : que tous les pays de l’Union Européenne parlent le même langage en matière de protection des données à caractère personnel. Pour y voir plus clair, voici les 3 grands principes qui forment la grammaire du texte.

parlez-vous le rgpd ?

“Accountability” : le principe pour votre entreprise

Le RGPD introduit une philosophie assez différente de ce que les entreprises ont pu connaître jusqu’à présent. Cette philosophie peut être résumée en un mot : accountability, ou responsabilité. Le nouveau règlement sur la protection des données n’impose pas une liste d’actions précises à prendre ou de technologies à déployer pour être conforme aux principes et aux obligations du RGDP: c’est à chaque organisation de procéder à un audit, d’évaluer son niveau de risque et de prendre les dispositions adéquates pour se mettre à la hauteur des risques. « Il n’existe pas de stratégie "one size fits all", résume Elena Gilotta, Responsable de la conformité juridique EMEA chez Box. La stratégie à mettre en œuvre va dépendre des secteurs, des entreprises et des types de données concernées ». Pour une entreprise comme Box par exemple, qui héberge les données de ses clients sans disposer d’un droit de contrôle sur celles-ci, la stratégie est simple : « Nous ne savons pas ce que les clients hébergent sur notre plateforme donc nous essayons d’appliquer les plus hauts critères générales de sécurité à l’ensemble des données qui nous sont confiées. » Ensuite, il ne s’agit pas uniquement de sécuriser ses données, mais également d’être en mesure de prouver qu’elles l’ont été et de transformer l’organisation pour assurer la continuité de ces mesures . La désignation d’un DPO (Data Protection Officer), garant de la bonne tenue des politiques internes, est la première étape de cette démarche. Il est également nécessaire de conserver des traces des traitements opérés sur les données et d’opter pour des solutions conformes aux principes du « privacy by design ».

“Privacy by Design” : la norme pour vos solutions

Le principe est simple : les solutions utilisées dans le traitement des données à caractère personnel doivent avoir intégré la protection de ces données dès leur conception, dans le développement et mise en production. La problématique pour les entreprises est plutôt de savoir comment vérifier qu’une solution respecte les fondements du « privacy by design ». Pour cela, l’article 42 du règlement encourage « la mise en place de mécanismes de certification ». « Les entreprises peuvent montrer que leurs outils de traitement respectent les standards grâce à des certifications existantes », poursuit Elena Gilotta. Pour un fournisseur cloud opérant en France par exemple, l’Anssi (Agence nationale de sécurité des systèmes d’information) a travaillé avec son homologue allemand, le BSI (Office fédéral de la sécurité des technologies de l'information), à la création d’un label commun baptisé ESCloud et basé sur le référentiel SecNumCloud en France et le catalogue C5 en Allemagne. Si les données sont hébergées en dehors de l’Union Européenne, la Cnil (Commission nationale de l'informatique et des libertés) peut attribuer au prestataire une autorisation unique. Pour cela, elle examine le contenu des BCR (Binding Corporate Rules) relâchées pas la Commission Européenne a travers une procédure communautaire gérée par les autorités de protection de données personnels, et qui régissent les politiques appliquées aux données. « Box a obtenu la certification C5 et des BCR à la fois en tant que responsable de traitement et sous-traitant, et dispose d’une autorisation unique de la Cnil», souligne Elena Gilotta. Car c’est là le troisième principe fondamental du RGPD.

“Coresponsabilité” : la règle pour vos sous-traitants

Le RGPD prévoit le partage des responsabilités entre le responsable du traitement (ou “controller”), propriétaire des données, et le sous-traitant (ou “processor”), qui exécute donc le traitement pour le compte du responsable. Ce dernier doit s’assurer que le sous-traitant auquel il fait appel respecte lui aussi le règlement européen. Pour cela, dans le cas de outils qui prévoit le transfert des données personnels au dehors de l’Union Européenne, les BCR sont un instrument le plus efficace. La liste des autorisations délivrées par la Commission Européenne est librement accessible. Le contrat passé entre les deux parties est également un élément fondamental. « Chez Box, nous avons établi des contrats de service standards qui précisent de façon très claire les responsabilités de chacun », confirme Elena Gilotta. Le document doit définir l’objet et la durée de la prestation, la nature et la finalité du traitement, le type de données à caractère personnel concernées, les catégories de personnes concernées, les obligations et les droits du client en tant que responsable de traitement et les obligations et droits en tant que sous-traitant.

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

1 réponse
Connectez vous ou Enregistrez-vous pour rejoindre la discussion
    
  • "relâchées pas la Commission Européenne a travers", le sujet est déjà assez aride mais là, vous ne simplifiez pas la tâche du lecteur...
publicité