GDPR : La nouvelle donne pour les informations personnelles !

 

GDPR : General Data Protection Regulation

Si vos systèmes informatiques contiennent des informations personnelles de citoyens de l’Union Européenne ou du Royaume-Uni, vous devez prendre en considération la GDPR.

GDPR signifie « General Data Protection Regulation » et est entrée en vigueur le 25 mai 2018.

Bien qu’il s’agisse d’une directive européenne, elle sera encore en vigueur au Royaume-Uni une fois le Brexit achevé. Cette loi remplace l’actuelle Loi sur la protection des données (1998). Il y a beaucoup d’éléments à considérer pour la GDPR, mais les professionnels devraient porter un intérêt particulier au concept de protection des données par conception et par défaut (article 25), qui stipule simplement que si vous êtes responsable du traitement des données (la personne / société responsable de la collecte des données), vous devez mettre la protection des droits de l’individu (la sécurité) au premier plan de votre projet.

Il y a fondamentalement six principes à considérer, tels que décrits à l’article 5 :

  1. Licéité, loyauté, transparence
  2. Limitation des finalités
  3. Minimisations de données
  4. Exactitude
  5. Limitation de la conservation
  6. Intégrité et confidentialité

L’objectif de la GDPR est clairement plus large que la technologie. Du point de vue de la gestion des services, ces six principes ont une incidence sur l’approche de conception des produits et services et de leur sécurité.

En adoptant les principes de la GDPR pour développer nos propres « résultats », nous devrions par exemple utiliser le principe de la minimisation des données (A25 (c)).

Le principe stipule que les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Pour ce faire, il faut se concentrer sur la réduction de l’empreinte des données. En identifiant les données détenues, la quantité détenue et la raison de les détenir, nous pouvons alors montrer des preuves de conformité. Le résultat est que la quantité de données détenues est réduite, donc le risque de perte ou de dommage (délibéré ou accidentel) minimisé.

Ainsi, grâce au principe de minimisation de données en place, on est en mesure d’avoir :

  • Un registre des actifs informationnels de type «données » ;
  • Une politique de conservation des données ;
  • L’identification des données personnelles détenues ;
  • L’identification des « propriétaires » de données dans chaque département ;
  • Le volume des données ;
  • L’identification des risques liés à la perte / dommage des données sur les personnes ;
  • La classification des données (publiques, internes, confidentielles, secrètes, etc.) ;
  • La maîtrise de comment les données sont protégées.

_________________________

Traduction libre de la section Security by design du livre VeriSM – A Service Management Approch For The digital Age. www.verism.global

Formation et certification VERISM avec IT Chapter – www.itchapter.com – verism@itchapter.com

Olivier Abecassis

Les commentaires sont fermés.