GDPR, nouveau système de protection de la vie privée, un nouveau cauchemar pour les entreprises de taille moyenne et les PME

(par Andrea Puligheddu) La nouvelle législation européenne relative à la protection des données personnelles est à nos portes, et avec elle l'ensemble du système de confidentialité actuellement en vigueur dans les pays européens est en train d'être innové. Bien que des interventions plus ou moins faisant autorité se déroulent depuis un certain temps maintenant sur l'interprétation à accorder à certaines innovations introduites (registre des traitements, évaluation de l'impact sur la protection des données personnelles, délégué à la protection des données, etc.) partie - complètement non préparée même sur les obligations documentaires et organisationnelles de base déjà en vigueur - en vertu du code de la vie privée - depuis vingt ans maintenant. Ceci est confirmé par les résultats d'une étude menée par Senzing, une société informatique californienne, intitulée «Finding The Missing Link in GDPR Compliance» selon laquelle la moitié (43%) des entreprises en Italie sur un échantillon de milliers d'entreprises elle se déclare «alarmée», tandis que plusieurs autres démontrent une méconnaissance simple et inquiétante des obligations et sanctions résultant du non-respect du RGPD. Quel est, parmi tant d'autres, le profil qui apparaît comme le plus critique et sous-estimé dans ces circonstances? Bien entendu, la réponse est simple: celle de la sécurité des données personnelles traitées.

Il ne suffit pas de lire les nouvelles chroniques de la violation aux infrastructures critiques publiques et parapubliques (téléphonie, hôpitaux, transports, énergie, etc.) pour faire la preuve d'un risque existant. Le tissu économique national risque de disperser, encore une fois, la valeur générée par les données personnelles traitées uniquement et uniquement par manque de conscience et de responsabilité. Perdre, sans concevoir des apocalypses de science-fiction, est susceptible d'être finalement concerné (les personnes auxquelles se réfèrent les données personnelles) qui font face à un manque de sécurité pourrait être l'objet inconscient de la compression de leurs droits et de leurs libertés. En ce sens, en ce qui concerne la sécurité, le GDPR (acronyme de General Data Protection Regulation) propose dans l'art. 32 un changement complet de mentalité, un véritable changement culturel. Il est précisé que: Tenant compte de l'état de la technique et des coûts de mise en œuvre, ainsi que de la nature, de l'objet, du contexte et du but du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés de personnes physiques, le responsable du traitement et le responsable du traitement mettent en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité approprié au risque, qui comprend, notamment, le cas échéant:

a) la pseudonymisation et le cryptage des données personnelles;

b) la capacité de garantir de manière permanente la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement;

c) la possibilité de restaurer rapidement la disponibilité et l'accès aux données personnelles en cas d'incident physique ou technique;

d) une procédure pour tester, vérifier et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement.

Le règlement identifie ensuite l'approche de la sécurité comme un véritable moment de prise de possession du propriétaire (conformément au principe de responsabilité sous l'article 25) et entend donner une véritable éponge à la méthode simpliste adoptée à plusieurs reprises par les entreprises (également d'une certaine importance stratégique) qu'en ce qui concerne la prévention des risques se référer à la simple vérification standard ou seulement les mesures minimales présentes dans la LAL. B du décret législatif n. 196 / 2003, le code de confidentialité précédent.

Avec cet acte, le RGPD n'entend certainement pas communiquer que les mesures de sécurité identifiées jusqu'à présent par des actes réglementaires et para-normatifs (tels que ceux sanctionnés par les Directives AGID pour les Administrations Publiques) doivent disparaître: au contraire, la finalité du Règlement est de générer une proactivité du Propriétaire, qui se considère gratifiant selon le mécanisme dicté par le principe de responsabilité précité. En ce sens, le règlement propose quatre critères à prendre comme exemple et à n'adopter que si nécessaire. En particulier, il est suggéré d'envisager l'adoption de techniques de pseudonymisation en ce qui concerne les données personnelles traitées (processus qui garantit que les données sont stockées dans un format qui n'identifie pas directement une personne spécifique sans l'utilisation d'informations supplémentaires), la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement, adopter des systèmes de reprise après sinistre et émettre des hypothèses de procédures d'essais périodiques pour vérifier l'efficacité des mesures de sécurité adoptées. De cette manière, le RGPD conçoit un véritable processus de sécurité, capable de garantir une orientation sécuritaire raisonnable pour le propriétaire. Par ailleurs, la norme précise ensuite que "dans l'appréciation du niveau de sécurité adéquat, il est particulièrement tenu compte des risques présentés par le traitement qui découlent notamment de la destruction, de la perte, de la modification, de la divulgation ou de l'accès non autorisés, en de manière accidentelle ou illégale, aux données personnelles transmises, stockées ou autrement traitées. Le respect d'un code de conduite approuvé visé à l'article 40 ou d'un mécanisme de certification approuvé visé à l'article 42 peut être utilisé comme élément pour démontrer le respect des exigences visées au paragraphe 1 du présent article ".

Par conséquent, des évaluations de risques spécifiques sont nécessaires, paramétrées sur des synergies avec d'autres dispositions couvertes par le RGPD telles que la violation de données, les codes de conduite, le traitement illicite de données personnelles et les mécanismes de certification. Enfin, la largeur du front à définir est précisée - même si elle était intuitive: "Le responsable du traitement et le sous-traitant s'assurent que toute personne agissant sous leur autorité et ayant accès aux données personnelles ne traite pas ces données si ce n'est mandaté à cet effet par le responsable du traitement, sauf si requis par le droit de l'Union ou des États membres ". Le deus ex machina de l'ensemble du cycle est naturellement le propriétaire et en ce sens, en attendant de nouveaux développements dictés par les pratiques et interprétations qui vont se succéder, cette disposition est à nouveau conforme au principe de responsabilité et vise à empêcher un une partie de la chaîne d'approvisionnement est vulnérable en termes de sécurité.

De nombreuses questions restent en suspens: quelles sont les mesures de sécurité appropriées? Quelles normes chaque titulaire doit-il refaire pour assurer la conformité dans le secteur de la sécurité? Quelles sont les meilleures pratiques?

Quelques jours avant l'applicabilité du règlement, ceux-ci restent des questions ouvertes qui interrogent à la fois les secteurs stratégiques pour la productivité du pays et les PME.

GDPR, nouveau système de protection de la vie privée, un nouveau cauchemar pour les entreprises de taille moyenne et les PME

| AVIS, PRP canal |