L’Union Européenne réagit avec deux lois pour la sécurité de l’information et la protection des données
26/09/2017
Suite à de nombreuses « cyber attaques » ayant touchées des entreprises de toutes tailles dans le monde entier mettant en danger les données confidentielles détenues par celles-ci, l’Union Européenne mettra en place en mai 2018 deux lois concernant la sécurité de l’information et la protection des données.
Les deux lois mises en avant :
– La Directive sur la Sécurité des Réseaux et de l’Information (SRI) (Directive UE 2016/1148 du Parlement Européen et du Conseil du 6 juillet 2016)
Elle a pour but de renforcer la coopération entre les États membres en ce qui concerne les nouvelles exigences de sécurité et le signalement des incidents graves à une ou des autorités nationales préalablement désignées par chaque pays de l’Union Européenne. Des stratégies pour gérer les cybermenaces devront également être mises en place. Le niveau général de sécurité des réseaux et de gestion des données va augmenter spécialement pour les entreprises ayant pour domaine principal la santé, les transports ou encore les services publics.
– Le Règlement Général sur la Protection des Données (RGDP) (Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016)
Son objectif est d’uniformiser les règlementations de protection des données existantes dans tous les pays de l’Union Européenne. Les pays ne faisant pas partie de l’Union européenne mais y ayant des activités seront soumis à ce règlement même si les données personnelles sont stockées en dehors de l’UE. (Article 3 du RGDP)
Une gestion des données personnelles plus lourde pour les entreprises
Les entreprises devront être très vigilantes pour l’administration des données personnelles auxquelles elles auront accès et elles devront se limiter uniquement à celles ayant un véritable lien avec leur activité professionnelle, les conserver seulement le temps nécessaire et les supprimer de façon irrémédiable.
La définition de données personnelles sera à appréhender au sens large et sera étendue aux adresses IP, de courrier électronique ainsi que toute information publiée sur internet via des réseaux sociaux.
En cas de défaillance, l’entreprise devra sous un délai de 72 heures avertir les personnes chargées de réguler les données et les personnes impactées. (Article 85 du RGDP)
Ces nouvelles lois astreindront toutes les personnes et entreprises ayant eu accès aux données à partager la responsabilité de la perte ou de la fuite de celles-ci.
Un coût supplémentaire pour les entreprises :
La coresponsabilité énoncée ci-dessus n’infligerait-elle pas l’obligation pour les entreprises de souscrire à une assurance de protection et de traitement des données ? En effet, en raison des différentes responsabilités incombant à chaque personne ayant accès aux données ou par lesquelles elles transitent, la souscription d’une assurance se révélera sans doute nécessaire. Selon le type et la grandeur de l’entreprise certaines se verront également dans l’obligation d’embaucher une personne qui devra s’occuper de la gestion de la protection des données. Est-ce que toutes les entreprises pourront assumer cette charge et ce coût supplémentaire, notamment celles ayant peu de moyens financiers ? Ou prendront-elles le risque de ne pas avoir de responsable ?
Il est certain que les petites entreprises réfléchiront avant d’entamer cette démarche pour répondre à ces contraintes et coûts supplémentaires.
Merci de nous contacter si vous avez besoin de plus d'informations.