Échos du monde : Amendes GDPR ou fiction ?
Le GDPR ayant maintenant plus d'un an, ceux d'entre nous qui espéraient que le Brexit annulerait la nécessité de se conformer au GDPR de l'UE ont été déçus. Mais un an plus tard, dans quelle mesure les organisations prennent-elles le sujet au sérieux ?
Comme beaucoup d'entre nous, vous recevez peut-être encore des appels non sollicités d'organisations qui essaient de vous vendre leur dernier produit, ou qui veulent que vous fassiez migrer votre contrat de votre fournisseur actuel. Sont-ils en infraction avec le GDPR ?
Si, comme moi, vous essayez d'adopter une position ferme en demandant : qui êtes-vous ? Où avez-vous trouvé mes coordonnées ? Et savez-vous que vous êtes en infraction avec la réglementation GDPR ? Méfiez-vous des explications plausibles !
J'ai récemment reçu un appel non sollicité d'un fournisseur de temps d'antenne qui voulait que je passe à son dernier produit 5G ultrarapide. Comment a-t-il obtenu mes coordonnées et a-t-il enfreint le règlement GDPR ?
La réponse est non. Il s'avère que je me suis abonné au Wi-Fi gratuit dans une station-service d'autoroute et que j'ai coché la case d'acceptation des conditions générales. Or, dans les centaines de pages des conditions générales, j'ai accepté que le fournisseur du Wi-Fi ait la permission de transmettre mes données personnelles à des "tiers concernés".
Devons-nous nous inquiéter du GDPR ?
Avec de telles lacunes, combien d'organisations ont-elles été condamnées à une amende pour violation du GDPR depuis l'entrée en vigueur de la loi, et devons-nous nous préoccuper du GDPR ?
Après tout, les équipes de gouvernance d'entreprise de toute l'Europe, de la plus grande entreprise à la plus petite organisation caritative, ont passé des mois à se préparer au GDPR et à assurer la conformité. La réponse est oui - des amendes sont désormais infligées dans toute l'Europe, du Portugal à l'Allemagne.
Rappelons le contexte de la législation et ce qu'elle signifie réellement. La loi vise à consolider les lois sur la confidentialité des données en Europe, à protéger la vie privée des citoyens de l'UE et à sanctionner les organisations qui autorisent une violation de la confidentialité des données. Vous devez obtenir l'autorisation expresse des personnes concernées si vous avez l'intention de détenir leurs données, ou vous devez justifier d'un intérêt légitime à détenir ces données à caractère personnel. En cas de violation des données, les amendes qui peuvent être imposées sont potentiellement énormes. Elles peuvent atteindre 10 millions de livres ou 2 % du chiffre d'affaires annuel pour les petites entreprises, et jusqu'à 20 millions de livres ou 4 % du chiffre d'affaires annuel pour les grandes entreprises.
Comment pouvez-vous donc éviter de tomber sous le coup de la législation GDPR ?
Les étapes de la prévention des sanctions
La réponse évidente est de s'assurer que votre personnel est conscient de sa responsabilité dans la protection des données de vos clients, comme point de départ. Vous avez ensuite la tâche peu enviable de veiller à ce que vos systèmes soient aussi sûrs que possible contre le piratage et donc les violations de données.
Lorsqu'il s'agit d'atténuer les sanctions en cas de violation du GDPR, assurez-vous que le personnel a signé toutes les politiques et procédures pertinentes, de la politique GDPR à la politique InfoSec, et tout ce qui se trouve entre les deux. Le fait de pouvoir prouver que vous avez mis en place des politiques et, plus important encore, que le personnel a adhéré à vos politiques, vous garantit une défense aussi bonne que possible, si et quand l'ICO vous appelle.
Une façon de s'assurer que les objectifs ci-dessus sont atteints est de mettre en place un système d'information sur la santé. solution logicielle de gestion des politiques pour conserver l'ensemble de vos politiques internes, procédures, instructions de travail, matériel de formation, etc. Assurez un contrôle complet de la version de vos politiques, publiez-les auprès de votre personnel et fournissez la preuve qu'elles ont été reçues, lues et comprises. Les avantages en termes de conformité peuvent être considérables - et contribueront à faire en sorte que les pénalités potentielles du GDPR ne soient plus qu'une fiction !