Big Data et confidentialité : le rôle du RGPD [Partie 2]

Le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne invite les entreprises à prendre certaines mesures pour protéger les droits de leurs partenaires (notamment leurs employés, leurs clients, leurs fournisseurs et bien d’autres) au regard de la confidentialité des données.

Dans mon dernier billet, j’ai évoqué les six façons dont les analyses du Big Data peuvent menacer la confidentialité ainsi que les deux parties invitées à prendre des mesures de protection par le RGPD, à savoir les individus et les entreprises dont la clientèle est en partie basée dans l’Union Européenne. Tout un chacun peut identifier les risques qu’il est prêt à prendre en se posant les questions suivantes :

Quelles sont les données que je rends publiquement disponibles et où se situent les menaces potentielles ?

Quels risques puis-je éviter et sur quelles données n’ai-je aucune influence ?

Ai-je un droit sur mes données ? Dans quelles situations puis-je l’exercer ?

Le RGPD jette une base pour les futurs développements en matière de protection et de sécurité mondiales des données. Comme l’indique KPMG, « il est juste de dire que cette nouvelle législation est le changement revêtant la plus grande importance et le plus grand impact à ce jour en matière de confidentialité et de protection des données. Elle est le fruit de plus de quatre ans de délibérations et de négociations, et entraînera des répercussions sur les organisations du monde entier. »

Changements à prévoir

Reportez-vous au rapport d’EY, EU General Data Protection Regulation in the Digital Age: Are You Ready?. Le RGPD requiert d’opérer certains changements fondamentaux concernant le traitement, le stockage et l’utilisation des données.

Responsables de la confidentialité des données

Des responsables de la confidentialité des données doivent être désignés dès lors qu’une organisation effectue un suivi de façon systématique et à grande échelle ou traite d’importants volumes de données personnelles sensibles.

Responsabilisation : les organisations doivent démontrer leur conformité via :

L’instauration d’une culture du suivi, la vérification et l’évaluation des procédures de traitement des données ;

La réduction du traitement et la conservation des données ;

La mise en place de mesures de sécurité pour les activités de traitement des données ;

La documentation des politiques, des procédures et des opérations de traitement des données. Celles-ci pourront être mises à la disposition de l’autorité de contrôle régissant la protection des données sur demande.

Études d’impact sur la vie privée

Les organisations doivent réaliser des études d’impact sur la vie privée dans le cadre du traitement à risque ou à grande échelle de données personnelles.

Consentement

Les organisations doivent obtenir le libre consentement du consommateur dans le cadre du traitement des données le concernant et à des fins spécifiques ;

Les clients doivent être informés du fait qu’ils peuvent retirer leur consentement à tout moment ;

En cas de données personnelles sensibles ou de flux de données transnationaux, le consentement doit être « explicite ».

Notification obligatoire en cas de violation

Les organisations doivent notifier l’autorité de contrôle de toute violation de données dans les plus brefs délais ou dans les 72 heures, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés d’un individu ;

Il est requis d’informer les personnes concernées si cette violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.

Nouveaux droits

Droit à l’effacement : dans certaines circonstances, la personne concernée a le droit de demander aux responsables du traitement d’effacer toutes les données personnelles la concernant dans les plus brefs délais ;

Droit à la portabilité des données : lorsqu’elles ont fourni des données personnelles à un fournisseur de services, les personnes concernées peuvent lui demander de transmettre ces données à un autre fournisseur, lorsque cela est techniquement possible.

Protection de la vie privée dès la conception

Les organisations sont tenues d’intégrer la protection des données dans le développement des processus de gestion et des nouveaux systèmes ;

Les options de confidentialité sont définies à un niveau élevé par défaut.

Obligations des sous-traitants

Les sous-traitants sont désormais une entité officiellement régulée.

Responsabilités partagées

Plusieurs acteurs peuvent se partager la responsabilité de protection des données.

Conclusion

Même si chacun est responsable de garantir la sécurité de ses données sur Internet (par exemple, lorsqu’il fait un achat en ligne, consulte ses comptes bancaires, scrute les réseaux sociaux ou joue sur la Toile), les nouvelles réglementations européennes exigent explicitement des entreprises qu’elles participent plus activement à la protection des données.

Au vu des changements à venir, la clé de la réussite, pour garantir la confidentialité des données pour les organisations dont la clientèle est en partie basée dans l’Union Européenne, repose sur une gestion et une gouvernance des informations efficaces.

Il existe des solutions et des services pour vous aider à assurer la protection, la disponibilité, la résilience et la gouvernance de l’un de vos principaux actifs, à savoir les données de vos clients.

Pour de plus amples informations, voir :

Taylor Armerding : CSO
KPMG
EY
Reform of EU data protection rules
Ernest Davis, professeur d’informatique au Courant Institute of Mathematical Sciences de l’Université de New York

Cet article, qui a fait l’objet d’une première publication en langue anglaise sur le blog SAP BusinessObjects Analytics, est republié avec l’autorisation de son auteur.

Big Data et confidentialité : le rôle du RGPD [Partie II]

GROW with SAP apporte aux PME les avantages éprouvés de l’ERP Cloud

Obtenir des résultats commerciaux clés grâce à la durabilité sociale

SAP annonce la nomination de Dominik Asam comme nouveau Directeur Financier