Le Règlement Général sur la Protection des Données de l’Union Européenne (« RGPD ») détaille les règles de protection des données personnelles traitées par les entreprises.
Les grands principes relatifs à la protection des données personnelles sont les suivants :
A/ Le principe de finalité
On ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime.
B/ Le principe de proportionnalité et de pertinence
Les informations enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier.
C/ Le principe d’une durée de conservation limitée
Il n’est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie. Une durée de conservation précise doit être fixée, en fonction du type d’information enregistrée et de la finalité du fichier.
D/ Le principe de sécurité et de confidentialité
On doit garantir la sécurité des informations détenues. Plus particulièrement, on doit veiller à ce que seules les personnes autorisées aient accès à ces informations.
E/ Le principe de transfert sécurisé de données
Les transferts des informations vers des pays en dehors de l’UE doivent être encadrés contractuellement et les mesures de sécurité associées détaillées.
Notion #1 : La donnée personnelle
Une donnée personnelle c’est :
- un nom.
- une photo.
- une empreinte
- une adresse postale.
- une adresse mail.
- un numéro de téléphone.
- un numéro de sécurité sociale.
- un matricule interne.
- une adresse IP.
- un identifiant de connexion informatique.
- un enregistrement vocal.
- toute autre donnée permettant d’identifier une personne physique.
Notion #2 : Le traitement des données
Un traitement de données à caractère personnel peut être informatisé ou non.
Ainsi, un fichier papier organisé selon un plan de classement, des formulaires papiers nominatifs ou des dossiers de candidatures classés par ordre alphabétique ou chronologique sont aussi des traitements de données personnelles.
Un traitement c’est plus particulièrement enregistrer, organiser, conserver, modifier, transmettre des données personnelles.
Notion #3 : Le transfert de données hors de l’UE
Un transfert de données c’est accéder, consulter, télécharger des données personnelles depuis un pays hors Union Européenne.
Exemples :
- Une équipe située au Maroc consulte les données des clients localisées en France
- Un client ouvre un ticket dans JIRA pour demander la résolution d’une anomalie depuis le Maroc. Le nom, l’email du représentant du client figurent sur ledit ticket.
C’est possible à condition de remplir à minima l’une de ces 3 conditions :
| Le pays de destination a une législation reconnue comme offrant une protection des données personnelles équivalente à celle existante en Europe | Protection des données dans le monde |
| Les organismes expéditeur et destinataire des données ont signé entre eux des clauses contractuelles types (CCT) | Définition des Clauses Contractuelles Types (CCT) |
| Le transfert a lieu entre des entités d’un groupe ayant adopté des “règles internes d’entreprise” (“Binding corporate rules” ou BCR) | Binding Corporate Rules (BCR) |
Notion #4 : Le sous-traitant au sens de la protection des données
Le sous-traitant « RGPD » est le prestataire qui, dans le cadre de la réalisation des services, va être amené à utiliser des données à caractère personnel du client.
Lorsque le prestataire de service signe un contrat avec l’un de ses clients, il sera, au regard du RGPD, un sous-traitant à chaque fois qu’il utilise des données du client pour, par exemple, corriger une anomalie, développer une fonctionnalité.
Attention ! Le sous-traitant au sens du RGPD n’est pas le sous-traitant au sens contractuel et commercial du terme.
Le sous-traitant est donc celui qui traite des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement.
| Le responsable de traitement | C’est le client |
| Le sous-traitant | Le prestataire de service signataire du contrat avec le client |
| Le sous-traitant ultérieur | Il s’agit de toute entité au sein du groupe, ou entreprise externe qui traite des données du client. L’on pourrait la qualifier de sous-traitant de rang 2 |
Notion #5 : La violation de données
Une violation ou à un incident de sécurité, avéré ou potentiel, intentionnel ou accidentel, se caractérisant par la destruction, l’altération, la perte, l’accès non autorisé à des données à caractère personnel.
Exemple #1
Une banque a subi une cyberattaque contre l’un de ses sites web bancaires en ligne. L’attaque visait à énumérer tous les identifiants d’utilisateur possibles à l’aide d’un mot de passe commun fixe. Les mots de passe sont composés de 8 chiffres.
En raison de la vulnérabilité du site web, dans certains cas, des informations concernant les personnes concernées (nom, prénom, sexe, date et lieu de naissance, code fiscal, codes d’identification de l’utilisateur) ont été divulguées à l’auteur de l’attaque.
Exemple #2
Une vulnérabilité par injection SQL a été exploitée pour accéder à une base de données du serveur d’un site web. Les utilisateurs étaient uniquement autorisés à choisir des pseudonymes arbitraires comme noms d’utilisateur. L’utilisation d’adresses électroniques à cette fin a été découragée.
Données concernées : mots de passe hachés de 1 200 utilisateurs.
Exemple #3
Une Direction Générale déménage dans un autre bâtiment. Des déménageurs trouvent un casier d’archives des Ressources Humaines ouvert et un grand nombre de dossiers sont manquants. Les dossiers contiennent des données relatives à la santé.
Exemple #4
Un membre du board d’une société perd une clé USB contenant des copies de projets de décisions et des documents issus des dossiers, notamment des données à caractère personnel.
Exemple #5
Pendant sa période de préavis, le salarié d’une société copie les données commerciales de la base de données de la société. L’employé n’est autorisé à accéder aux données que pour accomplir ses tâches professionnelles. Quelques mois plus tard, après avoir cessé de travailler, il utilise les données ainsi obtenues (données de contact de base) pour contacter les clients de l’entreprise.
0 commentaires