Actu
Le projet de règlement européen sur la protection des données à caractère personnel vu par Varonis
novembre 2012 par Norman Girard, Vice Président Europe de Varonis
L’harmonisation
des
directives
sur
la
sécurité
des
données
entre
les
pays
suscite
une
certaine
polémique.
Cependant,
la
coopération
entre
l’UE
et
les
USA
tend
à
s’améliorer.
L’accord
concernant
la
remise
aux
autorités
américaines
des
personnes
soupçonnées
d’atteinte
à
la
sécurité
des
données
doit
être
accueilli
avec
satisfaction.
Cependant,
un
désaccord
subsiste
en
Europe,
les
fournisseurs
d’accès
Internet
affirmant
que
l’application
de
la
nouvelle
législation
entrainera
des
requêtes
de
permission
trop
nombreuses
pour
leurs
clients
et
qu’ils
perdront
des
données
précieuses
si
des
personnes
refusent
d’être
pistées.
Dans
ce
contexte,
Varonis
accueille
favorablement
le
fait
qu’un
ensemble
commun
de
normes
de
confidentialité
sera
pour
la
première
fois
appliqué
aux
entreprises
de
toute
l’Union
européenne,
ainsi
que
la
mise
en
place
d’une
notification
immédiate
des
atteintes
à
la
sécurité
des
données
et
autres
«
déplacement
inapproprié
de
données
».
Il
s’agit
là
de
la
première
mise
à
jour
significative
de
la
législation
sur
la
protection
des
données
depuis
1995.
Les
dernières
mesures
étant
en
train
d’être
finalisées
par
la
Commission
européenne,
certains
détails
doivent
donc
encore
être
révélés,
et
les
mesures
devront
être
approuvées
par
les
gouvernements
nationaux.
2
à
4
années
pourraient
être
nécessaires
avant
que
les
mesures
entrent
en
application.
Les
propositions
ont
été
conçues
pour
augmenter
de
façon
notable
la
capacité
de
l’UE
à
punir
ceux
qui
laissent
se
produire
des
atteintes
majeures
à
la
protection
des
données
ou
vendent
des
données
client
à
des
tiers
sans
autorisation.
Elles
visent
également
à
mieux
protéger
les
données
contenues
sur
les
réseaux
sociaux
et
sur
les
services
de
cloud
computing.
Les
entreprises
auront
24
heures
pour
notifier
les
autorités
en
charge
de
la
protection
des
données
et
les
parties
lésées
dans
les
cas
où
des
données
privées
auraient
été
compromises.
En
s’assurant
que
les
règles
s’appliquent
également
aux
filiales
européennes
des
groupes
étrangers,
les
nouvelles
mesures
obligeront
les
multinationales
à
renforcer
leur
politique
de
protection
des
données.
De
plus,
toutes
les
entreprises
de
plus
de
250
employés
devront
disposer
d’une
équipe
dédiée
à
la
protection
des
données.
L’une
des
mesures
phares
est
le
fait
que
toute
entreprise
utilisant
des
informations
personnelles
(fichier
client,
données
liées
aux
ressources
humaines,
etc.)
devra
être
en
mesure
de
montrer
comment
et
pourquoi
elle
utilise
ces
données
personnelles.
En
fait,
il
s’agit
là
d’une
mesure
qui
devrait
déjà
être
en
place
dans
les
entreprises.
L’autre
aspect
de
cette
mesure
étant
le
«
droit
d’être
oublié
»,
ce
qui
signifie
que
les
entreprises
ne
peuvent
conserver
dans
leur
infrastructure
des
informations
dont
elles
n’ont
plus
l’utilité
et
donc
qu’elles
n’ont
plus
le
droit
d’utiliser,
sous
peine
d’amendes.
Ces
règles
donneront
à
l’Union
européenne
des
pouvoirs
similaires
dans
le
domaine
de
la
confidentialité
des
données
à
ceux
dont
elle
dispose
dans
le
domaine
de
la
concurrence,
où
elle
peut
imposer
des
amendes
allant
jusqu’à
10
%
du
chiffre
d’affaires.
Les
nouvelles
règles
représentent
un
excellent
compromis
entre
les
besoins
en
matière
de
confidentialité
des
données
des
citoyens
d’une
part,
et
les
difficultés
pratiques
de
la
gestion
des
données
en
entreprise
d’autre
part.
En
effet,
de
nombreuses
entreprises
ont
exprimé
leurs
préoccupations
face
aux
capacités
techniques
limitées
ou
nulles,
liées
à
la
gestion
des
accès
et
des
permissions,
à
la
protection
des
données
et
à
l’audit
intégré
dans
leurs
serveurs
de
données.
Si
ces
préoccupations
sont
compréhensibles,
la
réalité
est
qu’avec
une
technologie
appropriée,
ces
problèmes
peuvent
facilement
être
résolus.
L’introduction
d’un
ensemble
de
normes
de
confidentialité
pour
tous
les
territoires
de
l’UE
était
nécessaire
depuis
longtemps.
Le
fait
est
qu’il
s’agira
là
d’une
évolution
complexe
pour
certaines
multinationales,
et
pour
les
entreprises
qui
s’implantent
pour
la
première
fois
dans
de
nouveaux
pays,
qui
doit
être
considérée
comme
une
opportunité
et
non
une
difficulté.
Certains
ont
exprimé
leur
crainte
sur
le
fait
que
l’amende
de
5
%
du
chiffre
d’affaires
soit
excessive.
Si
un
maximum
de
2
%
arrangerait
beaucoup
d’observateurs,
le
taux
projeté
aura
un
fort
effet
dissuasif
sur
les
entreprises.
L’application
des
règles
à
des
entités
non
européennes
—
notamment
américaines
—
qui
souhaitent
offrir
leurs
biens
et
leurs
services
en
UE
doit
être
accueillie
positivement
:
elle
contribuera
à
équilibrer
les
exigences
symétriques
issues
des
règles
de
gouvernance
américaines
Sarbanes- ?Oxley.
Pendant
que
l’Europe
et
Washington
discutent
des
effets
du
Patriot
Act
américain
de
2001
et
des
niveaux
adéquats
de
protection
des
centres
de
traitement
de
données
européens
et
américains,
les
organisations
américaines
actives
en
Europe
devront
donc
se
conformer
à
cette
nouvelle
loi.
