RGPD 2023 et Cybersécurité

Main tenant une clé avec un porte-clés en forme de clé USB, suggérant l'utilisation d'une clé de sécurité

La cybersécurité est une notion primordiale du RGPD. La CNIL indique d’ailleurs dans son document sur la cybersécurité que ‘le RGPD est le seul texte à imposer des obligations de cybersécurité précises, de façon transversale, et soumises au pouvoir de contrôle et de sanction d’une autorité’.

De plus, il faut bien comprendre que respecter le RGPD, c’est comprendre que votre entreprise doit travailler de manière éthique avec les données personnelles qu’elle traite. Ce sujet n’a jamais été aussi important à l’heure où tous nos outils de travail sont interconnectés : Ordinateurs, smartphones, tablettes, réseaux sociaux, cloud, emails, etc… et cela dans un contexte où le risque cyber n’a jamais été aussi élevé.

Quelles sont les mesures à prendre pour se prémunir de ce risque ? Comment mettre en conformité son entreprise et protéger ses données ? On vous en dit plus ! 

Le RGPD, ou Règlement Général sur la Protection des Données, est entré en vigueur depuis 2018. Celui-ci est applicable pour toutes les entreprises et organisations, quelle que soit leur taille, leur secteur d’activité, publique ou privée. En 2023, le RGPD sera encore sur le devant de la scène et les entreprises, associations et organisations devront s’y conformer ! 

Les fondements du RGPD

Le RGPD a pour but de protéger les données personnelles des citoyens de l’Union européenne dans l’Union Européenne mais aussi en dehors. 

Cela signifie que le RGPD s’applique à toutes les entreprises et organisations, quelle que soit leur taille, qui traitent des données à caractère personnel de citoyens de l’Union Européenne. Mais il s’applique également aux entreprises et organisations situées en dehors de l’Union européenne qui traitent des données à caractère personnel de citoyens de l’Union.

Une donnée revêt un caractère personnel dès lors qu’elle désigne toute information se rapportant à une personne physique identifiée ou identifiable. Une personne physique peut être identifiée :
– directement (exemple : nom et prénom)
– Indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, l’adresse IP, mais aussi la voix ou l’image).
L’objectif du RGPD est de protéger l’ensemble de ces données et toute entreprise, ou association / organisation, est forcément concernée.

RGPD 2023 : LES NOUVEAUTES A CONNAITRE 

Le RGPD plus que jamais obligatoire en 2023 : Toujours plus de sanctions
Initialement, en 2018, lors de l’apparition du RGPD, la CNIL se montrait conciliante avec les entreprises et organisations.

En effet, la mise en place du RGPD est longue et pas forcément simple :
– Changer l’intégralité des process de traitement des données.
– Sécuriser les données.
– Désigner un Délégué à la Protection des Données (DPO).
– Etablir un registre de traitement des données.
– Mettre en conformité son site internet (cookies).
Etc…
La CNIL accompagnait donc les entreprises sans forcément les sanctionner en cas de manquement. Aujourd’hui ce n’est plus le cas ! Si la CNIL conserve son rôle d’accompagnement, elle sanctionne énormément les entreprises qui ne respectent pas le RGPD.

Voici quelques exemples de sanctions :
– Cookies : sanction de 60 millions d’euros à l’encontre de MICROSOFT IRELAND OPERATIONS LIMITED, GOOGLE à hauteur de 150 millions d’euros, 60 millions d’euros à l’encontre de FACEBOOK IRELAND LIMITED
– Sécurité des données et droits des personnes : sanction de 300 000 euros à l’encontre de la société FREE.
– Prospection commerciale et droits des personnes : sanction de 600 000 euros à l’encontre d’EDF, 600 000 euros à l’encontre d’ACCOR, 1 million d’euros à l’encontre de TOTALENERGIES
– Reconnaissance faciale : sanction de 20 millions d’euros à l’encontre de CLEARVIEW AI.
– Géolocalisation de véhicules de location : sanction de 175 000 euros à l’encontre d’UBEEQO INTERNATIONAL.
– Fuite de données de santé : sanction de 1,5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE.
…. Toutes les sanctions émises par la CNIL sont publiées sur son site internet (rubrique sanctions) et donc publiques. 

Au-delà de ces amendes record, la réforme pour la simplification de la justice et l’article 33 paru en janvier 2022, autorise désormais la CNIL à faire appel à des sous-traitants pour mener ses enquêtes qui conduisent si des irrgularités sont bien constatées à des mises en demeure et des amendes pouvant aller jusqu’à 25 000 €, risque majeur pour les PME, indépendants, professions médicales. 

Le plan stratégique 2022 / 2024 pour la CNIL

La CNIL a publié un plan stratégique allant de 2022 à 2024. Dans ce plan, le RGPD et la protection des données occupent une place prépondérante avec des axes spécifiques.

La CNIL s’est fixée les 5 axes pour 2023 :

– Renforcer la sécurité juridique des responsables de traitement par des orientations pratiques et claires.
– Développer les outils de certification et de code de conduite.
– Faire de la conformité RGPD la meilleure prévention contre les risques cyber.
– Renforcer et faire évoluer la stratégie d’accompagnement.
– Assumer un rôle de régulateur ayant un impact économique.
On remarque donc que la CNIL continue encore et toujours d’accompagner les entreprises et organisations sur le sujet du RGPD.

Par contre, la CNIL sera très vigilante quant à la bonne application du RGPD et pourra sanctionner lourdement en cas de manquement. Celle-ci a sélectionné des sujets importants sur lesquels elle va se focaliser :

  • Les caméras augmentées et leurs usages.
  • Les collectes de données personnelles dans les applications smartphones.
  • Les transferts de données dans l’informatique en nuage (« cloud »).

La mise en conformité de votre site internet pour être en accord avec le RGPD 2023

La mise en conformité des sites internet était un point important en 2022 et il le sera tout autant, si ce n’est plus, en 2023.

En effet, en 2021, le RGPD a évolué quant à la mise en conformité RGPD des sites internet. Les sites internet, par le biais de modules, d’outils d’analyse ou encore des cookies, récoltent énormément de données sur les internautes. Le RGPD vous oblige donc à mettre votre site en conformité pour que celui-ci soit plus respectueux des données personnelles des internautes qui le visitent.

Il y a trois grands principes à respecter ici :

  • La protection des données personnelles.
  • Le respect des règles en matière de cookies et de traceurs.
  • La cybersécurité des sites web.

Ainsi, en 2022, de nombreuses entreprises ont été sanctionnées notamment sur le sujet des cookies et traceurs. Il est donc primordial pour votre entreprise de se mettre en conformité.

La cybersécurité toujours plus importante d’année en année

Déjà en 2022, la cybersécurité était une notion primordiale du RGPD. La CNIL indique dans son document sur la cybersécurité que ‘le RGPD est le seul texte à imposer des obligations de cybersécurité précises, de façon transversale, et soumises au pouvoir de contrôle et de sanction d’une autorité’.

Renforcer la cybersécurité de son entreprise, c’est participer à la mise en conformité RGPD de celle-ci. Cette mise en conformité est évidemment importante mais ce qui est réellement important, c’est que le risque cyber que votre entreprise court au quotidien n’a jamais été aussi important !

  • Contexte géopolitique actuel (guerre en Ukraine) qui favorise les attaques informatiques.
  • Développement de l’intelligence artificielle qui sera, à coup sûr, utilisée par les pirates.
  • Les attaques informatiques qui ont été multipliées par 10 en trois ans.

Votre entreprise et vous même êtes plus que jamais des cibles pour les pirates informatiques.

La cybersécurité est donc un maillon essentiel du RGPD 2023 que vous devrez respecter sous peine de sanctions ou, encore pire, de risque de piratage.

————————————

Nos experts vous accompagnent afin de :

– réaliser l’audit de vos données personnelles 

– rédiger à partir de vos informations les registres de traitement obligatoires 

– définir les actions (et leur priorité) à mettre en place pour se mettre en règle 

– informer correctement toutes les personnes (salariés, clients, fournisseurs, candidats, prospects, …) 

– vous guider dans la mise en place des procédures pour faire valoir les droits des personnes, en cas de tentative de vol de données, …. 

Des questions, des besoins ? Contactez-nous ! 

A lire également