Données personnelles : le nouveau projet de règlement européen

J’intervenais aux #SecurityTuesday hier sur le thème du nouveau projet de règlement européen ayant vocation à remplacer la loi informatique et libertés (le cadre est très sympathique et les organisateurs sont vraiment adorables, si vous êtes professionnels de la SSI c’est un bon endroit pour s’y retrouver). Voici les slides de la présentation :


En résumé, voici quelques points importants à retenir :

  • Les montants des amendes seront désormais considérables (2% du CA global d’un groupe – soit l’équivalent d’1.2 Milliard de dollars pour Microsoft en 2008). Et pour les organismes publics ce sera 1.000.000 d’euros. Fini les « il n’y a pas de sanctions ».
  • 27 pays, un texte (mais un gros texte quand même : +80 pages / ~100 articles à digérer) !
  • Fini les déclarations, mais bonjour la documentation et le DPO obligatoire dans les établissements publics et dans les entreprises > 250 personnes
  • Il va falloir formaliser des études d’impact sur les risques pour les personnes pour certains traitements sensibles.
  • L’adoption du règlement se fera entre 2013/2014 (optimistes) et 2016 (pessimistes).

D’un, point de vue purement SSI, il faut noter :

  • Que le règlement impose la formalisation des études de risques de sécurité (implicite aujourd’hui dans l’article 34 de la loi). Mais quelle méthode faudra-t-il utiliser ?
  • Que la Commission aura en outre la possibilité de préciser certaines mesures de sécurité (ex : IDS obligatoire dans tels cas, algorithmes de chiffrement).
  • Une nouvelle obligation de notification à l’autorité nationale de contrôle des violations de données personnelles, étendue à tous les responsables de traitement (et pas uniquement aux OCE comme dans la loi actuelle).
  • Que cette notification à la CNIL devra être faite sans délai, cad dès connaissance de la violation (la justification sera obligatoire si elle se fait +24h après).
  • Et qu’enfin cette notification devra également être faite à la personne concernée. Il faudra expliquer à ses propres clients que leurs données sont parties dans la nature. Oui, ce sera douloureux…

 

Téléchargez la formation conformité RGPD

Téléchargez gratuitement notre formation conformité RGPD et éliminez vos risques rapidement

Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
Téléchargez la formation conformité RGPD (gratuit)
Téléchargez gratuitement notre mini formation conformité RGPD et réduisez vos risques rapidement, avec l'actualité de la conformité RGPD et nos offres de produits/service exclusives !
VOS CGV (gratuites)