Qu’est-ce que la GDPR ?
La General Data Protection Regulation (GDPR) ou en français Règlement Général sur la Protection des Données, est un règlement européen entré en vigueur en 2016 et applicable dès mai 2018, qui vise à remplacer la Data Protection Directive de 1995, qui n’est plus adaptée à l’usage numérique actuel. Cette réglementation est valable dans toute l’Union Européenne et pour toute entreprise (européenne ou étrangère, intra ou hors UE) qui traite des données personnelles de citoyens européens. Sont concernées par la GDPR, toutes les informations qui permettent d’identifier un individu, que ce soit une photo, un nom, des coordonnées bancaires, une adresse électronique ou une adresse IP, entre autres.
Les principes de la GDPR
Responsabilités
Définition des périmètres de responsabilité des acteurs vis-à-vis des données à caractère personnel
Protection
Définition des exigences de sécurisation des données à caractère personnel durant tout le cycle de vie
Sanctions
Définition des sanctions financières et pénales en cas de manquement aux exigences et responsabilités
Ces principes sont valables et applicables pour toute entreprise dans le monde qui traite des données personnelles de citoyens européens.
Les obligations des entreprises
- Appliquer une politique claire de protection des données personnelles dans tous les produits, services et procédures internes des organisations
- Déployer des mesures et des outils de protection des données personnelles
- Dans certain cas, nommer un Officier de Protection des Données
- Obligation de notification de divulgation de données personnelles à l’autorité de supervision sous 72 heures !
- Obligation de notification de divulgation de données personnelles aux intéressés le plus rapidement possible !
- Pas d’obligation de notification des intéressés si les données sont inintelligibles.
En cas de non-respect de la GDPR, les entreprises risquent :
- Amende jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le plus élevé des deux sera celui retenu)
- Suspension – voire suppression – de l’autorisation du traitement des données (CNIL)
- Droit à réparation du préjudice matériel et moral potentiellement exercé par les victimes
- Impact sur l’image de marque et la réputation
Quelques règles de base pour limiter le vol ou le piratage de données personnelles
- Installation des mises à jour
80 % des attaques exploitent des vulnérabilités connues et corrigées des OS et des applications - Protection des terminaux
Déployer des mécanismes de détection et de protection contre les menaces sur tous les types de terminaux, postes de travail et dispositifs mobiles (tablettes et smartphones). - Protection des réseaux
Déployer un dispositif de contrôle des accès aux réseaux Internet et WiFi notamment. - Chiffrement
Chiffrer a minima les données sortantes et mobiles permet de s’affranchir de la notification aux intéressés en cas de perte ou de vol. - Détection des attaques
Il faut en moyenne 200 jours à une entreprise pour détecter une attaque active dans son infrastructure.
Comment Hermitage Solutions peut vous aider
Présents depuis plus de 20 ans sur le marché, nous sommes spécialistes de la distribution de solutions et services de sécurité informatiques. Nos connaissances et notre expertise nous permettent aujourd’hui d’accompagner les entreprises tout au long de leur mise en conformité GDPR, en proposant les solutions les plus adaptées à vos besoins et ceux de vos clients.
Notre vaste catalogue de produits couvre l’ensemble des recommandations de la CNIL.