La gravité des cyberattaques augmentant chaque jour, les gouvernements interviennent désormais pour fournir des conseils et assurer la sécurité et l'information du grand public.
Au Canada, la loi sur la protection des données numériques (LPD), qui modifie la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), est la loi fédérale qui dicte la manière dont les organisations réagissent aux violations de données et les signalent. Cependant, ce ne sont pas les seules lois relatives à la cybernétique auxquelles les entreprises canadiennes doivent faire face, car les réglementations européennes en matière de violation de données peuvent avoir un impact considérable sur les entreprises internationales de toutes sortes.
En fait, toute organisation qui opère ou vend dans l'Union européenne (UE) ou qui gère des informations basées dans l'UE pourrait se voir infliger de lourdes amendes si elle ne se conforme pas au règlement général sur la protection des données (RGPD). Il est donc essentiel pour les organisations d'avoir une compréhension générale du GDPR et de savoir comment rester en conformité.
Qu'est-ce que le GDPR ?
Le GDPR, qui entre en vigueur le 25 mai 2018, est unique en ce sens qu'il ne se limite pas aux organisations qui ont une présence physique dans l'UE. Indépendamment de l'emplacement d'une entreprise, le GDPR s'applique aux entreprises qui traitent les données personnelles de personnes basées dans l'UE et :
- Offrir des biens ou des services à une personne dans l'UE (même si ces biens et services sont offerts gratuitement)
- Surveiller le comportement en ligne des citoyens de l'UE
Sur la base de ces dispositions, le GDPR peut avoir un large impact sur les organisations, indépendamment de leur taille, de leur localisation ou de la nature de leurs opérations. En effet, celles qui font du commerce dans l'UE ou qui détiennent des données de personnes basées dans l'UE doivent se conformer au GDPR.
Amendes et exigences de conformité
Il est important de comprendre le GDPR, surtout si l'on considère que la non-conformité peut entraîner des amendes et des pénalités importantes - jusqu'à €20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial d'une entreprise.
Compte tenu de la sévérité de ces amendes, une seule violation du GDPR peut dévaster financièrement une organisation. C'est pourquoi il est essentiel que les entreprises comprennent ce que l'on attend d'elles en matière de conformité au GDPR.
Voici cinq éléments clés du GDPR que les entreprises doivent connaître :
- Obligations des responsables du traitement et des sous-traitants-Le GDPR définit deux types d'opérations distinctes dans son règlement : les responsables du traitement et les sous-traitants. Les définitions et normes générales qui s'appliquent à ces entités sont les suivantes :
- Responsables du traitement-En vertu du GDPR, toute organisation qui collecte, utilise ou divulgue des informations personnelles de citoyens de l'UE peut être considérée comme un responsable du traitement. Les responsables du traitement sont censés protéger les données des citoyens de l'UE et veiller à ce que le sous-traitant qui traite les données à caractère personnel en leur nom respecte également les règles du GDPR. Les responsables du traitement sont également tenus de procéder à des évaluations de l'impact sur la vie privée pour tout traitement susceptible d'entraîner un risque élevé et de tenir des registres de toutes les activités de traitement.
- Sous-traitantsComme indiqué ci-dessus, les sous-traitants traitent les données pour le compte des responsables du traitement. Ces entités doivent également mettre en œuvre des garanties appropriées, renvoyer ou supprimer les données une fois le traitement terminé et informer le responsable du traitement de toute violation des données. Les sous-traitants ne peuvent sous-traiter aucune tâche sans l'autorisation du responsable du traitement.
- Exigences en matière de consentement-Conformément au GDPR, le consentement au traitement des données doit être donné sans ambiguïté par le propriétaire des données. Le silence ou l'inactivité ne constituent pas un consentement. Lorsqu'une organisation traite des données concernant des personnes âgées de moins de 16 ans, le consentement des parents est requis.
- Notifications obligatoires en cas de violation de données-À la suite d'une violation de données, les personnes concernées doivent être notifiées par le responsable du traitement dans les 72 heures suivant la découverte de la violation. Toutefois, dans les cas oùla violation pourrait avoir une incidence sur les droits et libertés des personnes concernées, la notification doit être effectuée sans délai. Les sous-traitants sont également tenus de signaler la violation à l'entreprise qui collecte et/ou contrôle les données perdues.
- Droit à l'effacement-Conformément au GDPR, les responsables du traitement sont tenus d'effacer les données à caractère personnel traitées et/ou stockées dans les situations suivantes :
- Si les données ne sont plus nécessaires
- Si une personne s'oppose au traitement
- Si le traitement est illicite
- Obligation pour les délégués à la protection des donnéesEn vertu du GDPR, les responsables du traitement et les sous-traitants peuvent être doit désigner un délégué à la protection des données dans les cas suivants :
- Si le traitement des données est effectué par une autorité ou un organisme public
- Si les activités principales impliquent un suivi régulier et systématique des individus à grande échelle
- Si les activités de base consistent en un traitement à grande échelle de certaines catégories de données (par exemple, les données relatives aux origines raciales ou ethniques, aux condamnations pénales ou aux opinions politiques)
Bien que la liste ci-dessus présente un certain nombre de considérations majeures relatives au GDPR, elle ne doit pas être utilisée comme un guide de conformité. Pour consulter la version finale du règlement, des FAQ utiles et des résumés des principaux changements, visitez le site officiel de l'UE sur le GDPR.
Garantir la conformité
Pour les organisations qui ne connaissent pas les lois européennes sur la protection de la vie privée, le GDPR peut être accablant et déroutant. Heureusement, les entreprises canadiennes peuvent prendre les mesures suivantes pour s'assurer qu'elles sont conformes et éviter les amendes potentielles :
- Procéder à une évaluation de l'état de préparation. Examinez le GDPR et déterminez s'il s'applique à votre entreprise. Si votre organisation détermine qu'elle est soumise au GDPR, il est important d'évaluer la quantité de données européennes traitées par votre entreprise. Veillez également à examiner l'impact potentiel du GDPR sur vos activités.
- Identifier les lacunes en matière de conformité. Lors de votre évaluation initiale, il est important d'identifier toute lacune potentielle en matière de conformité. Dans certains cas, vous pourrez constater que vous êtes en mesure de réduire votre charge de conformité au GDPR en modifiant la façon dont vous stockez ou suivez les données de l'UE.
- Établir un contrôle. En matière de gouvernance GDPR, il est important d'adopter une approche structurée. Documentez, modélisez et coordonnez en permanence les problèmes potentiels liés au GDPR et les stratégies de remédiation.
- Mettre en œuvre un programme de conformité au GDPR. Après avoir établi des processus clés pour identifier les lacunes en matière de conformité, créez un programme GDPR pour répondre aux préoccupations potentielles. Ce programme doit tenir compte des éléments suivants :
- Gouvernance
- Gestion des politiques
- Gestion du cycle de vie des données
- Traitement des droits individuels
- Sécurité de l'information
- Gestion des violations de données
- Responsabilité du responsable du traitement des données
- Formation et sensibilisation
- Restez prêt. Une fois votre programme GDPR mis en place, procédez à des évaluations continues pour garantir le maintien de la conformité.
Bien que le GDPR puisse être similaire à la LPRPDE et à d'autres lois sur la protection de la vie privée au Canada, les organisations ne devraient jamais présumer de leur conformité. Même si votre entreprise a mis en place des pratiques de gestion des données et des politiques de confidentialité bien définies, toutes les organisations doivent examiner leur système actuel pour détecter les problèmes de conformité au GDPR et combler les éventuelles lacunes.
Complétez votre programme de gestion des cyberrisques
Dans l'environnement actuel, les organisations traitent chaque jour d'énormes quantités de données personnelles. Ces données constituent une cible privilégiée pour les cybercriminels, et une seule violation peut entraîner de graves pertes financières et des atteintes à la réputation.
Comme si cela ne suffisait pas, les entreprises qui ne réagissent pas à ces incidents conformément aux lois fédérales et internationales sur la protection de la vie privée s'exposent à de lourdes amendes et pénalités. Pour mieux protéger votre organisation, il est important de consulter un courtier d'assurance qualifié.
Les courtiers peuvent non seulement fournir des conseils généraux sur les lois applicables en matière de violation de données, mais aussi vous aider à compléter vos programmes de gestion des risques par des polices d'assurance personnalisées. Pour en savoir plus, contactez le groupe Axis Insurance dès aujourd'hui.
Savez-vous comment rester en conformité en cas de violation de données ? Téléchargez notre guide sur la loi relative à la protection de la vie privée dans le secteur numérique pour obtenir des informations sur les étapes à suivre.
