Qu'est-ce que le RGPD ?

Des violations de la confidentialité des données des utilisateurs telles que le scandale Facebook/Cambridge Analytica ont alerté les utilisateurs sur la médiocrité des normes de protection des données. Les citoyens du monde entier s'inquiètent désormais de la protection de leurs données. Selon des recherches, la confiance et la confidentialité des données sont des aspects essentiels de la vie digitale. Selon une enquête McKinsey de 2020 concernant le partage de données et le comportement des utilisateurs, 87 % des personnes interrogées affirment qu'elles n'hésiteraient pas à arrêter de collaborer avec une entreprise aux pratiques douteuses en matière de sécurité. L'enquête a également révélé que 71 % des personnes interrogées seraient prêtes à quitter une entreprise qui partage leurs données sensibles sans autorisation.

Pour lutter contre les violations de la vie privée des utilisateurs, l'UE a adopté le Règlement général sur la protection des données (RGPD) 25 mai 2018. Le RGPD de l'UE a su s'imposer comme une réglementation stricte dédiée à l'utilisateur qui vise à protéger le droit à la vie privée des citoyens de l'UE.

Le droit au respect de la vie privée fait partie du droit européen depuis la Convention européenne des droits de l'homme de 1950. Le RGPD, lui, remplace un texte de 1995 : la Directive 95/46/CE relative à la protection des données, ou DPA.(2)e. Adopté en 2016, les États membres de l'UE ont eu deux ans pour mettre en œuvre la loi. Cette mise à jour a notamment été motivée par la nécessité d'harmoniser les réglementations en matière de protection de la vie privée des États membres de l'Union européenne. Depuis l'adoption du RGPD, les entreprises concernées par ce règlement s'efforcent de s'y conformer. Le RGPD vise à assurer la protection de la confidentialité des données personnelles. L'article 4 du RGPD définit les données personnelles comme « toute information se rapportant à une personne physique identifiée ou identifiable (« personne concernée »). » Les données telles que les informations personnelles, les adresses IP, les données biométriques et bien d'autres encore en font partie. Le RGPD identifie également des classes de données et des « catégories spéciales » de données indiquant le niveau de sensibilité de ces dernières. Les données les plus sensibles nécessitent donc un niveau de protection plus avancé.

Dans le RGPD, une entité concernée est une organisation qui propose des biens ou services et utilise les données personnelles d'une personne concernée de l'UE, ou qui surveille son comportement en ligne. Les entités concernées sont considérées comme des responsables de traitement des données ou des sous-traitants : le responsable de traitement des données est votre interlocuteur principal en matière de consentement et de gestion des accès. Ce dernier travaille pour le compte d'un responsable du traitement. Le champ d'application juridictionnel du RGPD s'étend pour inclure les entreprises sises en dehors de l'Europe et de l'UE, mais qui vendent des produits ou services à des clients au sein de l'UE et collectent les données personnelles de ces clients. Le RGPD affecte les entreprises de toutes tailles puisqu'il concerne les activités de traitement des données d'une entreprise, et non sa taille.

La protection et la confidentialité des données sont indispensables pour respecter le RGPD. Les solutions de sécurité Akamai proposent des renseignements et offrent une protection de bout en bout destinée à protéger les données des violations et des expositions accidentelles. Akamai accompagne vos équipes de sécurité dans l'optimisation de l'efficacité et du retour sur investissement de vos placements en matière de sécurité. Dans cette optique l'entreprise va bien au-delà de la détection traditionnelle des terminaux pour fournir une solution Zero Trust puissante dédiée à la sécurité et à la confidentialité des données.

Akamai fournit :

• une plateforme de sécurité mondiale qui applique la sécurité Zero Trust avec une couverture complète de vos environnements informatique IoT et OT
• une visibilité approfondie sur les actifs, les accès et les flux réseau
• une application granulaire de la politique de sécurité

La confidentialité des données est importante pour les utilisateurs. Le RGPD et les lois similaires relatives à la confidentialité des données incluant, sans s'y limiter, le California Consumer Privacy Act (CCPA) des États-Unis, visent à faire respecter les principes de confidentialité des données des utilisateurs et des citoyens. Les entreprises dont le respect du RGPD est remis en question sont passibles d'amendes importantes. Le 13 avril 2023, l'Autorité irlandaise de protection des données (DPA) a par exemoke requis une amende de 1,2 milliard d'euros à l'encontre de Meta Platforms Ireland Limited (Meta IE) pour les violations du RGPD commises sur la base de clauses contractuelles types (CCT) lors du transfert de données personnelles vers les États-Unis. 

Les entreprises directement concernées par le RGPD ne sont pas les seules à devoir s'y conformer. Voici quelques exemples d'organisations qui ne font pas exception à la règle :

Entreprise américaine avec des clients dans l'UE

Le RGPD a une portée extraterritoriale. Par conséquent, même si le siège de votre entreprise est situé en dehors de l'UE, vous devez vous conformer au RGPD dès lors que vous traitez avec des clients résidant dans l'UE. En ce sens, vous devez conduire une analyse RGPD pour identifier les activités de traitement de données concernées. De plus, vous êtes tenu de fournir des dispositions relatives au respect de la confidentialité conformes aux exigences du RGPD. En parallèle, vous devez effectuer une analyse d'impact relative à la protection des données et identifier les mesures de protection nécessaires. Ces dernières incluront probablement le chiffrement des données, la mise en place de mesures d'authentification plus robustes et une protection des données au niveau organisationnel grâce à la mise en œuvre d'une approche de sécurité Zero Trust. Ces mesures doivent s'étendre aux fournisseurs tiers.

Petite organisation employant moins de 250 personnes

Les petites entreprises ne font pas exception à la règle : elles doivent se conformer au RGPD. Dès lors où elles traitent des données personnelles, les entreprises ayant un statut individuel ou caritatif unique doivent se plier aux exigences du RGPD. Cependant, si elles traitent des données régulièrement ou en grande quantité et que celles-ci peuvent affecter les droits et libertés ou divulguer l'origine, les données biométriques et autres données sensibles du client, ces entreprises sont tenues de présenter les documents relatifs au traitement des données généralement requis par la loi. Enfin, en plus de se conformer aux exigences en matière de confidentialité des données, les petites entreprises doivent également trouver des plateformes de sécurité capables de proposer une authentification et un chiffrement robustes pour sécuriser les données et éviter toute violation.

Le RGPD énonce les sept principes fondamentaux auxquels les entités doivent obéir. Ces principes concernent la licéité du traitement des données, les motifs invoqués et les conditions applicables au consentement. Les principes sont les suivants :

1. Licéité, loyauté et transparence : le traitement des données doit se faire sur une base légale.
2. Limitation des finalités : comme indiqué dans le RGPD, il s'agit d'un concept indispensable lié aux principes de confidentialité dès la conception et par défaut. Son objectif est de veiller à ce que les données soient « récupérées à des fins précises, explicites et légitimes. »
3. Minimisation des données : suite logique du deuxième principe, la minimisation des données implique que toutes les données légitimement collectées doivent se limiter au minimum syndical.
4. Exactitude : l'entité concernée doit garantir l'exactitude des données collectées.
5. Limitation de la conservation : l'entité concernée doit avoir une politique de limitation de la conservation prête à être déployée.
6. Intégrité et confidentialité : les contrôles de sécurité doivent assurer l'intégrité et garantir la confidentialité des données personnelles collectées. Ce principe exige la prise de mesures de sécurité destinées à prévenir les attaques de menaces internes ou externes.
7. Responsabilité : les mesures et la documentation de l'entité concernée doivent prouver que cette dernière respecte le RGPD.

Les personnes concernées sont des personnes susceptibles d'être identifiées à l'aide de données personnelles protégées par le RGPD. Le Chapitre 3 du RGPD évoque les huit droits des personnes concernées qui doivent être respectés pour se conformer au RGPD :

1. Droit d'être informé (articles 12, 13 et 14).
2. Droit d'accès (article 15).
3. Droit de rectification (article 16).
4. Droit à l'effacement (article 17).
5. Droit à la limitation du traitement (article 18).
6. Droit à la portabilité des données (article 20).
7. Droit d'opposition (article 21).
8. Droits liés à la prise de décision automatisée, y compris le profilage (article 22).

Dans l'article 34, il existe également une règle obligeant à notifier toute violation. L'entité concernée doit informer la personne visée par la violation « sans retard injustifié » si la violation de données « est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique. » En cas de violations de données, les autorités de contrôle doivent être informées puisqu'elles agissent en tant qu'autorités publiques responsables du respect de la réglementation.

L' Enforcement Tracker dédié au RGPD propose une vue d'ensemble des amendes et pénalités encourues en cas de non-respect du RGPD. En mai 2023, le coût cumulé des amendes requises s'élevait à environ 2,79 milliards d'euros. Selon l'Enforcement Tracker dédié au RGPD, les trois raisons principales impliquant le recouvrement d'une amende sont les suivantes :

1. non-respect des principes généraux de traitement des données ;
2. base juridique insuffisante pour justifier le traitement des données ;
3. mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des de l'information.

En cas de non-conformité au RGPD, vous risquez deux niveaux d'amende :

Niveau 1 : concerne les violations de données et la non-exécution d'une analyse d'impact relative à la protection des données. Son montant s'élève à 2 % du chiffre d'affaires annuel mondial ou à 10 millions d'euros (le montant le plus élevé est retenu).

Niveau 2 : concerne le respect des exigences du RGPD telles que le respect du consentement et des droits des personnes concernées. Son montant s'élève à 4 % du chiffre d'affaires annuel mondial ou à 20 millions d'euros (le montant le plus élevé est retenu).

La sécurité des données est intrinsèquement liée à la fiabilité de la confidentialité des données. Le RGPD souligne l'importance de prévenir les violations de données grâce à des mesures techniques et organisationnelles adaptées. Les contrôles de sécurité et les mesures de confidentialité mentionnés dans le RGPD incluent le chiffrement et la pseudonymisation. Parmi les autres mesures de sécurité et de confidentialité qui devraient être utilisées pour prévenir les violations de données, nous retrouvons la gestion des identités et des accès ainsi que l'authentification et le consentement robustes de l'approche de sécurité Zero Trust.

Akamai Connected Cloud propose des mesures précises relatives au contrôle de l'accès aux données et au consentement pour aider les entreprises à respecter le RGPD et à le prouver. Ces contrôles concernent notamment :

• l'obtention et la gestion du consentement ;
• le droit d'accès ;
• le droit de rectification ;
• le droit à l'effacement ;
• le chiffrement.

Akamai vous accompagne dans votre démarche de conformité au RGPD en proposant une gestion des risques, des rapports et de la documentation grâce à sa stratégie Zero Trust