Andrea Simandi et Cameron Birge, Microsoft
Qu'est-ce que le RGPD ? Le Règlement général sur la protection des données est la nouvelle règlementation européenne en matière de protection des données à caractère personnel, c'est-à-dire toute information pouvant être liée à une personne physique.
En termes simples, quelles sont les implications pour une personne ou une organisation lambda ?
Le RGPD impose de nouvelles règles aux entreprises, agences gouvernementales, organisations à but non lucratif et autres organisations, quelle que soit leur implantation géographique, qui proposent des biens et services à des personnes dans l'Union européenne (UE) ou qui collectent et analysent des données liées à des résidents de l'UE. Le citoyen Qu'est-ce que le RGPD ? Le Règlement général sur la protection des données est la nouvelle règlementation européenne en matière de protection des données à caractère personnel, c'est-à-dire toute information pouvant être liée à une personne physique. lambda disposera de droits plus clairs en vertu du RGPD, qui lui permettront de savoir qui stocke, traite et a accès à ses données à caractère personnel. Aux termes du RGPD, les résidents de l'UE bénéficient d'un droit d'accès, de rectification et de suppression de leurs données.
Les organisations doivent donc revoir leurs pratiques de gouvernance des données, se défaire des systèmes hérités qui stockent des données inutiles et supprimer les données qui n'ont pas été collectées conformément aux nouvelles règles du RGPD. Elles doivent également documenter les mesures techniques et organisationnelles appropriées qu'elles ont adoptées, et faire appel uniquement à des fournisseurs fiables, sous peine d'être pénalisées financièrement et de voir leur reputation entachée.
Pourquoi l'UE a-t-elle décidé de la mise en oeuvre du RGPD ?
En Europe, la protection des données à caractère personnel est un droit fondamental que l'UE s'attache à protéger. Cette philosophie repose sur un concept simple : les données à caractère personnel appartiennent à la personne à laquelle elles se rapportent. Ce principe est différent de celui appliqué par les États-Unis, où les informations collectées sur les individus sont considérées comme étant la propriété de l'organisation qui les recueille. Les cas de violations de données font désormais partie de notre quotidien, et l'Europe souhaite montrer l'exemple à l'international en incitant les entreprises à être plus disciplinées et transparentes quant à l'utilisation des données et à investir dans la sécurité et la protection des données. Toute entreprise ou agence qui recueille ou utilise des données à caractère personnel n'est donc autorisée à le faire que si le traitement desdites données repose sur des fondements légitimes.
D'autres pays vont-ils suivre l'exemple de l'UE et adopter des réglementations similaires ?
RGPD s'applique à quiconque fournit des biens ou services à des résidents en Europe. D'autres pays envisagent l'adoption de lois similaires, avec néanmoins quelques variantes, le RGPD étant jugé trop prescriptif par certains.
Qui sera chargé de surveiller la conformité au RGPD ?
Les autorités de protection des données des États membres, ainsi que le Comité européen de la protection des données seront habilités à surveiller la conformité au RGPD.
Quand le RGPD entrera-t-il en vigueur ?
Le 25 mai 2018. Il a été clairement indiqué qu'aucune période de clémence ne serait tolérée pour l'application, les entreprises ayant été informées deux ans auparavant de l'arrivée de ces nouvelles règlementations.
Quelles sont les principales exigences du RGPD ?
Le RGPD impose un renforcement de la sécurité, la protection des données, l'adoption de mesures techniques et organisationnelles appropriées, la transparence, la tenue de registres, la responsabilité et la prise en charge des demandes des personnes concernées, ainsi que le respect d'un délai de signalement par les responsables du traitement des données aux autorités de 72 heures en cas de violation de données à caractère personnel. La responsabilité de la protection des données sera partagée au sein des organisations et avec les fournisseurs, établissant ainsi un modèle de responsabilité partagée. Les organisations sont tenues de savoir quelles données à caractère personnel sont recueillies et traitées par leurs systèmes internes et de quelle manière. La direction doit donc avoir connaissance de ces processus, dont la responsabilité ne peut pas uniquement incomber aux services IT ou juridiques. La sensibilisation et la formation internes seront des éléments clés.
Comment savoir si le RGPD concerne mon organisation ? Quels sont les risques encourus en cas de non-conformité ?
Le RGPD s'applique à toute organisation opérant sur le territoire de l'Union européenne ou traitant les données à caractère personnel de tout résident de l'Union européenne. Le nonrespect de ce Règlement expose l'organisation à des pénalités légales et financières de la part des autorités compétentes de l'UE, ainsi qu'à des poursuites pénales par les personnes concernées.
Microsoft peut-elle nous aider à répondre aux exigences du RGPD ?
La responsabilité finale de la conformité au RGPD revient à l'organisation. Il incombe aux organisations à but non lucratif de définir les données qui seront recueillies, la manière dont elles seront utilisées, les personnes responsables au sein de l'organisation et la manière dont les sujets des données peuvent demander à accéder à leurs données à caractère personnel et à les rectifier ou les supprimer.
Microsoft propose cependant une suite d'outils pour vous aider à répondre à ces exigences. Notre infrastructure de cloud Azure a été conçue dans l'optique du RGPD et dispose des systèmes nécessaires pour aider à se conformer au RGPD. Nos licences Office 365 E3 et E5 permettent d'étiqueter facilement les données et d'identifier automatiquement les données sensibles, même lorsque l'utilisateur n'a pas conscience de leur nature. Enfin, nous avons lancé un tableau de bord de conformité au RGPD qui peut être utilisé par les organisations afin de surveiller leur propre conformité.
Vous pouvez également consulter la page Web consacrée au RGPD sur notre site Microsoft Trust Center afin de découvrir comment les fonctions et caractéristiques de Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 et Windows 10 vous aideront à vous mettre en conformité avec les exigences du RGPD.