Avec la montée continue de la cybercriminalité, l’UE a élaboré une nouvelle législation qui aura un impact sur toutes les entreprises. Le règlement général sur la protection des données (GDPR) et la directive sur la sécurité des réseaux et de l'information (NIS) obligeront les entreprises à se conformer à certaines exigences en matière de cybersécurité ou à agir en ce sens. Que signifient-ils pour les petites entreprises et comment elles gèrent leur sécurité??

Essentiellement, les nouvelles réglementations visent à créer une communauté d’affaires plus soucieuse de la sécurité. Le cadre juridique qui s'applique actuellement à toutes les formes de données numériques que votre entreprise pourrait détenir concernant des clients ou des partenaires commerciaux devra maintenant être renforcé. Votre entreprise a peut-être déjà traité la "loi sur les cookies" qui régit désormais les opt-ins de votre site Web et la manière dont les informations personnelles sont utilisées. Le GDPR va beaucoup plus loin.

Adam Palmer, directeur des relations gouvernementales internationales chez FireEye, a expliqué: "La directive NIS est uniquement axée sur la sécurité, tandis que le GDPR est axé sur la confidentialité des données. Elles ont chacune des règles et un champ d'application différents. Le GDPR s'applique à toute entité qui traite les données personnelles de Résidents de l'UE liés à l'offre de biens ou de services ou à la surveillance de leur comportement.

"La directive NIS s’applique plus étroitement aux" opérateurs de services essentiels "et aux fournisseurs de services numériques comptant au moins 50 employés. La directive NIS exige que les entités relevant de la directive NIS mettent en œuvre des mesures de sécurité" de pointe "garantissant niveau de sécurité approprié au risque "."

Les modifications que Bruxelles souhaite apporter rendent essentiellement toutes les informations relatives à un consommateur ou à un partenaire commercial «personnelles» et, en tant que telles, une sécurité renforcée doit être appliquée. Avec autant d'informations personnelles partagées à travers l'UE à chaque seconde, on espère que les nouvelles réglementations renforceront leur sécurité..

La réglementation GDPR s’applique aux entreprises de taille moyenne occupant 250 personnes ou plus. Et les pénalités annoncées devraient s'élever à 20 millions d'euros (environ 15,8 millions de livres sterling, soit 23,2 millions de dollars), soit 4% du chiffre d'affaires annuel, le montant le plus élevé étant retenu..

Des industries entières sont transformées en utilisant des données pour créer des produits et services personnalisés

Avantages d'une approche proactive

Jason du Preez, PDG de Privitar, a déclaré: "Notre économie mondiale dépend de la prise de décision basée sur les données. Des industries entières sont transformées en utilisant les données pour créer des produits et des services personnalisés dans tous les secteurs imaginables. Le GDPR représente un changement radical les investissements en analyse de données peuvent être conçus, livrés et exploités.

"Les organisations ont deux ans pour se conformer au GDPR, mais celles qui sont proactives peuvent obtenir un avantage concurrentiel en gagnant la confiance de leurs clients. Plus les clients comprennent comment leurs données sont utilisées et dans quel but, moins elles sont susceptibles de se retirer du simple fait ne comprends pas l'arrangement en place ".

Pour la plupart des organisations relevant du champ d'application de la nouvelle réglementation, un nouveau poste de délégué à la protection des données (DPO) sera nécessaire si vos processus métier nécessitent le stockage et la manipulation de certaines catégories de données..

Andy Green, spécialiste principal du contenu technique chez Varonis, explique: "Le GDPR est une loi énorme et complexe. Et les rédacteurs de la réglementation étaient conscients que les petites entreprises ou les petites entreprises ne seraient pas en mesure de tout gérer.

"Ils ont fait quelques exceptions aux exigences plus lourdes, et ils ont également donné aux DPA (autorités de protection numérique), par exemple, le pouvoir de prendre en compte la taille de l'entreprise en termes d'application de la loi - la proportionnalité, dans leurs mots.

"Par exemple, les PME ne sont généralement plus obligées de recruter un DPO de données. Des exceptions sont également prévues pour les DPIA (évaluations de l'impact sur la protection des données), qui constituent une nouvelle exigence en matière de documentation des effets de la collecte de données très sensibles. également réduit pour les PME.

"Mon sentiment général est que si une petite entreprise suit les idées de" Privacy By Design ", qui est souvent évoquée dans le RGPD, elles iront bien - en particulier les principes de minimisation de la collecte de données à caractère personnel et de la conservation des données. les enregistrements de consommation plus longtemps que nécessaire. "

  • Modifications du règlement européen sur la protection des données: un aperçu du RGPD