GDPR від даних раю до санкцій пекла Les Echos

КРО/ПУНКТ ПОГЛЯДУ - Загальний регламент про захист даних надходить 25 травня 2018 року, і підприємства, які не відповідають стандартам, ризикують застосувати великі штрафи. Оскільки дані стають стратегічною перевагою, як не відставати ?

санкцій

Зіткнувшись з новими фінансовими штрафами до 4% обороту або 20 мільйонів євро у разі порушення певних зобов'язань GDPR, багато компаній повинні отримати, щоб бути готовими до 25 травня 2018 року !

З цієї реформи, мабуть, випливають дві основні цілі: необхідність гармонізації та прагнення модернізації.

Новий краєвид

Новий європейський ландшафт характеризується насамперед модифікацією юридичного інструменту, що використовується для встановлення норм. Раніше заснований на європейській директиві, це зараз .

Законодавча база 1995 року фактично створила фрагментацію впровадження захисту даних у Союзі. Завдяки регламенту мета полягає в тому, щоб створити однаковий закон на всій території Європейського Союзу. Ідея полягала в тому, щоб забезпечити "кращу правову визначеність для підприємств та покласти край поточному законодавчому механізму".

Наприклад, термін зберігання даних регулюється різними національними вимогами.

Проте слід підкреслити, що цей регламент залишає певні моменти (процедури сертифікації, інші санкції тощо) для держави-члена поле для маневру.

Зміна філософії

Для Едуарда Геффрей, Генерального секретаря CNIL, цей "надзвичайно потужний інструмент гармонізації" просто означає "зміну парадигми" (1).

Впроваджуючи чи переробляючи низку концепцій, цей текст має бути інноваційним. Перехід здійснюється від логіки відповідності в момент "t" компанії до логіки динаміки, яка полягає у питанні, чи забезпечується безперервний максимальний захист даних, враховуючи технологічні розробки. Ідея полягає в тому, щоб розширити можливості компанії, яка продовжує бажати отримати доступ до раю даних.

Рай, доступний для всіх

Щодня компанія стикається з обробкою даних, яка часом не підозрюється, але яку вона завжди повинна контролювати. Від даних працівника до даних про клієнта чи потенційного клієнта, до даних про постачальника або навіть партнера, обмін та обробка даних різко зросла. Ми говоримо про появу економіки, заснованої на знанні даних, Святого Грааля, якого бажають усі галузі (промисловість, банківська справа, страхування, охорона здоров’я тощо). Оцінка ваших даних стала золотим рудником для компаній. Персональні дані - це не те, що ми виробляємо, а що розкриває, хто ми є. Немає нічого дорожчого .

Дані також будуть в основі штучного інтелекту, як передбачається у звіті Вільяні. Однак, якщо придушення великої кількості декларацій буде справжньою революцією у Франції, як французькі норми, так і CNIL просякнуті формалістичними правилами, що стосуються декларативних зобов'язань (2), було б ілюзорним думати, що скасування формальностей призведе до поступитися місцем спокусі нерегульованого раю.

Поважайте правила

Перше велике нововведення полягає в тому, що тепер зобов’язання ґрунтуються на впровадженні підходу, заснованого на оцінці ризику. Таким чином, компаніям доведеться провести аналіз впливу (стаття 35) для певних операцій з обробки (наглядові органи повинні опублікувати перелік видів обробки, для яких такий аналіз буде потрібний).

Загалом, компаніям доведеться вести реєстр із переліком усіх проведених операцій з обробки (стаття 30), який істотно міститиме інформацію, необхідну під час складання форми декларації (ціль, тип даних, зацікавлені особи, тривалість тощо).

Крім того, обов'язок захисту даних за задумом - конфіденційність за задумом (стаття 25) - і обов'язок захисту даних за замовчуванням - конфіденційність за замовчуванням - вимагатиме від компаній пропонувати збір продуктів та послуг, починаючи від проекту та за замовчуванням, якомога менше особистих даних або використовувати псевдонімізацію.

Призначити особу з питань захисту даних

Організаціям та компаніям також доведеться призначити особу з питань захисту даних - DPO, особу, яка захищає дані (стаття 37). Зокрема, він буде нести відповідальність за інформування та консультування контролера, контроль за дотриманням норм та співпрацю з наглядовим органом (стаття 39). DPO може бути або членом персоналу компанії, або зовнішнім постачальником послуг, за умови дотримання професійної таємниці або зобов'язання щодо конфіденційності.

Громадянин також бачить, що його права посилюються, право на перенесення даних встановлюється на його користь (стаття 20). Компанії повинні будуть забезпечити його засобом передачі своїх даних конкуренту, коли це технічно можливо, або принаймні надати йому колекцію даних у структурованому форматі.

Нарешті, право на забуття (стаття 17) робить офіційне внесення, суб’єкт даних може вимагати якнайшвидшого видалення своїх даних.

Незважаючи на те, що є багато нових зобов'язань, один з найбільш помітних пунктів реформи стосується санкцій, не стільки змісту оголошених сум, скільки використаних критеріїв.

Значні суми

Регламент справді запроваджує штрафи до 20 мільйонів євро за певні правопорушення, або 4% від загального світового річного обороту попереднього фінансового року, залежно від того, що вище (стаття 83.5). Нижня межа 2% обороту передбачена у разі недотримання незначних положень цього правила (стаття 83.3).

У будь-якому випадку, це зовсім інший масштаб, ніж 150 000 євро, які зараз може ввести CNIL (10).
Кожен наглядовий орган тепер повинен забезпечити, щоб штрафи за порушення правил у кожному випадку були ефективними, пропорційними та стримуючими.

Суворі критерії

Для накладення таких санкцій у кожному конкретному випадку буде враховано низку підказок (стаття 83.2):
- Характер, тяжкість та тривалість порушення
- Кількість постраждалих людей
- Чи було порушення з необережності чи навмисного
- Заходи, спрямовані на пом'якшення шкоди
- Дані, на які вплинуло порушення
- Спосіб, яким контролюючий орган дізнався про порушення (скарга жертви або повідомлення від компанії) ...

І це може не закінчитися на цьому, оскільки регламент залишає двері відкритим для інших покарань, передбачаючи можливість для держав-членів визначати режим "інших застосовуваних покарань" (стаття 84). Залишається з’ясувати, чи Франція піде ще далі.

Тим часом, якщо цього не було зроблено, професіонали повинні протягом місяця (25 травня 2018 р.) Розглянути правильні заходи, які слід вжити, щоб не недооцінювати це положення та передбачати його.

Передбачити та контролювати

Протягом цього обмеження часу компанії повинні перш за все передбачати ризики та контролювати безпеку. Йдеться не просто про дотримання правил, а про розуміння їх логіки, щоб передбачити її.

Тому компанії повинні скористатися цим коротким часовим обмеженням для приведення обробки даних у відповідність. Вони також повинні приймати активну позицію для оптимального управління ризиками.

Наприклад, компанії доведеться проводити внутрішній аудит, навчати весь персонал, писати кодекси поведінки, готуватися до отримання сертифікатів (стандарти, марки, марка тощо), перевіряти, на якому рівні ризику піддаються інші дочірні компанії ...

, загалом, "цим розширеним управлінням ризиками, пов'язаним із захистом даних, доведеться спільно користуватися всій компанії і від усієї компанії, починаючи від менеджерів через різні професії і, звичайно, до менеджерів із захисту інформаційних систем", хоча б лише з точки зору контроль безпеки.

Контроль безпеки

Новий регламент не стосується колючого питання безпеки і вимагає, щоб будь-яка організація мала безпечну інформаційну систему.

Крім того, компанії, які стали жертвами порушення безпеки, повинні як повідомити CNIL (стаття 33), так і повідомити про це відповідну особу (стаття 34). Це повідомлення буде обов’язковим у випадку високого ризику (викрадення особистої інформації, шахрайство тощо) і має відбутися протягом 72 годин. Відсутність цього зобов'язання дозволило компаніям зберегти свою репутацію, зберігаючи порушення конфіденційності. Окрім фінансового ризику, ставка з точки зору іміджу є значною.

Безпека є як ніколи основним викликом для компаній, які повинні підготуватися до кібератак, питання яких, як справедливо зазначає Лоран Геслот, "полягає вже не в тому, а в тому, коли вони відбудуться".

Погодьмось, технології трансформували економіку, створюючи як величезні можливості, так і величезний ризик. Компанії повинні будуть проявляти підвищену пильність, виходячи з "обов'язку подавати приклад з точки зору захисту даних, ризикуючи суттєво залучити юридичну відповідальність і, крім того, завдати шкоди їх репутації або їх комерційним інтересам".

Небо має ціну, але, на жаль, має і пекло !

Ніколас Мартін-Тейяр є юристом

1. Сабін Ізард, Марін Корбер, "Зміна парадигми - інтерв'ю з Едуардом Геффрей - генеральним секретарем CNIL", Lamyline.fr, 2016.
2. Гійом Десжен-Пасанау, Захист персональних даних, 2-е видання, Париж, Lexis Nexis, 2016.
3. Нарада № 2013-420 щодо обмеженого формування CNIL від 3 січня 2014 року проти Google Inc.

Розшифруй світ згідно

Щодня написання Les Echos приносить вам достовірну інформацію в режимі реального часу. Це дає вам ключі до розшифровки новин та передбачення наслідків поточної кризи для бізнесу та ринків. Як розвивається ситуація зі здоров’ям? Які нові заходи готує уряд? Чи покращується діловий клімат у Франції та за кордоном ?

Ви можете розраховувати на те, що наші 200 журналістів дадуть відповідь на ці запитання, а також на аналізі наших найкращих підписів та відомих авторів, які повідомлять ваші думки.