blog sur la nouvelle décision du RGPD

Pourquoi une nouvelle décision juridique pourrait intensifier la conformité au RGPD

Le mois de décembre a été marqué par l’un des changements les plus importants apportés à la réglementation européenne sur la confidentialité des données de mémoire récente. Suite à une demande des tribunaux allemands et lituaniens, la Cour de justice européenne (CJCE) a rendu une nouvelle décision pour clarifier quand et comment les régulateurs peuvent imposer des amendes aux entreprises qui enfreignent les lois sur la confidentialité des données.

Les experts juridiques et en sécurité affirment que cette décision permettra aux régulateurs d'appliquer plus facilement les réglementations en matière de protection des données, ce qui pourrait entraîner des amendes plus élevées en vertu du RGPD. En conséquence, les équipes de conformité subissent une pression accrue pour s'assurer que leurs entreprises stockent et traitent les données personnelles de manière légale.

Impact réglementaire

En Allemagne, les régulateurs ont infligé une amende de 14.4 millions d'euros à la société immobilière Deutsche Wohnen pour avoir conservé les données de ses clients plus longtemps que nécessaire. Dans le même temps, le tribunal lituanien a infligé une amende de 12,000 3000 € au Centre national de santé publique du pays et de 19 XNUMX € à son fournisseur de services informatiques pour une application de recherche de contacts Covid-XNUMX qui violait le RGPD. Les deux organisations ont contesté les amendes, ce qui a amené les tribunaux locaux à demander des éclaircissements à la CJCE sur ces questions.

Elle a statué que les régulateurs de la protection des données ne peuvent imposer des amendes au RGPD que pour « conduite fautive », par laquelle une entreprise a « intentionnellement ou par négligence » violé le RGPD. Et lorsqu'ils infligent une amende à une organisation, les régulateurs doivent calculer les sanctions financières en fonction du chiffre d'affaires annuel de son groupe mère, le cas échéant.

Depuis que la CJCE a rendu sa décision historique sur le RGPD, de nombreuses spéculations ont eu lieu sur son impact sur la réglementation des données en Europe. Décomposant la décision, le directeur général d'Assurancety, Keith Budden, explique qu'elle comporte deux dimensions principales.

Premièrement, il affirme que les régulateurs peuvent infliger des amendes au RGPD même s'ils ne peuvent pas déterminer comment les actions d'une personne ont provoqué une violation de données. Deuxièmement, il explique que les entreprises pourraient faire face à des mesures réglementaires si un individu ou une organisation les représentant, comme un sous-traitant ou un entrepreneur individuel, enfreint les règles de protection des données.

« Il deviendra plus facile pour les régulateurs d'imposer une sanction financière à une organisation », a-t-il déclaré à ISMS.online. « Et l'étendue de la responsabilité s'est élargie, dans la mesure où elle a ouvert la voie à une amende pour un responsable du traitement, même lorsque la violation des réglementations RGPD est limitée à l'activité de l'un de ses sous-traitants, voire de l'un de ses sous-traitants. processeurs.

Kelly Indah, analyste en sécurité chez Increditools, estime que l'arrêt rendu par la CJCE en décembre renforcera « considérablement » la manière dont les régulateurs appliquent les règles de protection des données.

"Selon la décision, les régulateurs ont plus de latitude pour imposer des amendes qui sont dissuasives, plutôt que plafonnées à un certain pourcentage du chiffre d'affaires annuel", a-t-elle déclaré à ISMS.online. "En outre, la décision rationalise les processus réglementaires afin que les autorités puissent agir rapidement en cas de non-conformité."

Joanne Bone, associée d'Irwin Mitchell et experte en protection des données, est plus sceptique quant à l'impact global de la décision.

« Bien que cela puisse étendre la responsabilité dans les juridictions où les autorités de contrôle devaient prouver que la direction avait commis une faute pour infliger une amende à une entreprise ou à une organisation, cette décision ne surprendra pas au Royaume-Uni », a-t-elle déclaré à ISMS.online.

« À mon avis, cela n’a pas considérablement modifié le paysage en matière d’amendes en vertu du RGPD de l’UE. »

Bone affirme que la récente décision de la CJUE n'entraînera pas une responsabilité stricte, ce qui signifie que les autorités ne pourront imposer des amendes que lorsqu'elles constateront des actes répréhensibles. Elle ajoute : « Il est désormais clair qu’il doit y avoir un comportement intentionnel ou négligent de la part de l’entreprise ou de l’organisation. »

L'importance de la conformité

Cependant, la décision pourrait encore exercer davantage de pression sur les entreprises pour qu'elles veillent à ce qu'elles disposent de politiques et de processus adéquats en matière de protection des données. En particulier, les entreprises devront mettre en œuvre une série de politiques, de procédures et de contrôles pour aider leur personnel à gérer les données sans enfreindre les règles de protection des données, affirme Bone.

« Non seulement des procédures devront être mises en place, mais elles devront également être déployées, respectées et contrôlées par les organisations », ajoute-t-elle.

Indah d'Increditools explique que l'adoption d'un système de gestion de la sécurité de l'information (ISMS) qui suit les normes internationales de cybersécurité telles que la norme ISO 27001 peut être d'une grande aide à cet égard.

« Cela constitue un moyen systématique et convivial pour les auditeurs de garantir que tous les aspects de la conformité en matière de protection des données sont traités en permanence par le biais d'examens et d'améliorations », dit-elle. « Alors que les régulateurs se montrent plus sévères, démontrer un engagement en faveur de la gestion responsable par le biais de la certification ne peut que contribuer à démontrer la bonne foi des efforts. »

Indah estime qu'il ne suffit plus aux organisations de traiter la protection des données comme une simple tâche de conformité. Elle affirme que les organisations doivent effectuer régulièrement des audits internes et externes sur la protection des données, former leurs employés à la gestion responsable des données et démontrer l'engagement de leur direction à comprendre les dernières réglementations en matière de protection des données.

« Plutôt que de craindre des amendes plus élevées, les entreprises feraient mieux d'adopter des pratiques de sécurité robustes qui constituent une opportunité concurrentielle et un catalyseur commercial », ajoute Indah. « Après tout, l’alternative risque d’entraîner des atteintes à la réputation, des sanctions réglementaires et une perte de confiance des clients – ce qui, à long terme, pourrait avoir un impact bien plus grave sur les résultats. »

Budden d'Ensurety exhorte les entreprises à tenir des registres à jour de leurs activités de traitement de données et à fournir au personnel une formation sur la protection des données, afin de répondre à leurs exigences réglementaires en matière de protection des données. D'autres tâches consistent à mettre en œuvre toutes les politiques et procédures requises en matière de données, à réaliser des évaluations d'impact sur la protection des données à jour et à s'assurer qu'elles ont adopté toutes les mesures techniques et organisationnelles énoncées par les régulateurs.

Vance Tran, co-fondateur de Pointer Clicker, convient que la norme ISO 27001 constitue une bonne base de référence pour le respect des réglementations en matière de protection des données. Mais il affirme que les organisations peuvent aller plus loin en adoptant des technologies de confidentialité, des modèles DevSecOps et une culture d'entreprise soucieuse de la confidentialité.

Il ajoute : « Je vois cette décision comme une opportunité. En donnant dès le départ la priorité aux solutions éthiques et centrées sur l'utilisateur, les développeurs peuvent non seulement respecter les règles juridiques, mais également instaurer une véritable confiance des utilisateurs. C'est une opportunité passionnante de contribuer à créer des systèmes fondés sur la confidentialité et le consentement à partir de la base.

Dans l’économie hautement numérique d’aujourd’hui, les entreprises traitent une quantité toujours croissante de données personnelles. Bien que ces données soient utiles pour mieux comprendre et cibler les clients, elles exposent les entreprises à de lourdes amendes si elles ne respectent pas strictement les règles de protection des données.

 

Auteur

Nicolas Fearn

Nicholas Fearn est un journaliste indépendant originaire des Welsh Valleys. Il a écrit pour de grands médias comme le Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost et Insider, ainsi que pour des publications B2B comme Computer Weekly, Computing et IT Pro. Lorsque Nic n'écrit pas sur les derniers gadgets et tendances technologiques, il écoute probablement l'intégralité de la discographie de Mariah Carey.

Voir tous les articles de Nicholas Fearn

Articles Similaires

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage