Sujets
Services
Accueil > Loi européenne sur la protection des données ...
FR
FR DE IT EN

Règlement général de l'UE sur la protection des données

En termes de conformité, le nouveau règlement général européen sur la protection des données fait apparaître de nouvelles exigences. Par exemple, il est possible d'apporter la preuve que des contrôles et des audits sont effectués via des certifications. Cela pourrait faciliter la coopération, par exemple dans le traitement des données commandées.

Arwid Zang et Frank Dimmendaal - 19 novembre 2017

Autre innovation du règlement européen sur la protection des données (RGPD), qui entrera en vigueur en 2018 : le principe de l'égalité des conditions de concurrence sera fermement établi. Cela signifie que les données collectées dans l'UE seront soumises au GDPR et non plus seulement aux lois sur la protection des données du pays concerné, comme c'était le cas auparavant. Cela a également un impact sur la Suisse.

 

Une autre exigence est l'introduction d'une "évaluation d'impact sur la protection des données" obligatoire pour les modèles de traitement des données à risque. Selon le GDPR, les entreprises concernées doivent mettre en œuvre un processus d'"évaluation de la confidentialité et de la sécurité". Jusqu'à présent, cela s'est fait dans les organisations sur une base volontaire.

Non-conformité / non-mise en œuvre
Le changement le plus important, cependant, est l'augmentation significative des amendes. En cas de violations importantes du GDPR, elles peuvent s'élever jusqu'à quatre pour cent du chiffre d'affaires annuel mondial ! Le non-respect/la non-application des exigences légales de la loi sur la sécurité informatique et du GDPR recèle un potentiel de risque extrêmement élevé, tant sur le plan commercial que pour la réputation d'une entreprise.

 

S'il y a également une violation de l'obligation légale en vertu de la loi sur les sociétés par actions ou de la loi sur les sociétés à responsabilité limitée, la direction d'une organisation est directement confrontée à la question de la conformité. Il existe également un risque de violation de la conformité si les entreprises concernées ne mettent pas en œuvre les exigences de la loi sur la sécurité informatique en temps voulu, ne signalent pas les incidents de sécurité, violent les règlements du GDPR et/ou ne signalent pas les violations correspondantes de la protection des données.

Gestion des autres risques de conformité
La direction d'une entreprise ne remplit son obligation organisationnelle en cas de situation de risque correspondante que si une organisation de conformité a été mise en place pour prévenir les dommages et maîtriser les risques. Le type, la taille et l'organisation de l'entreprise, les réglementations à respecter, la présence géographique et les cas suspects du passé sont déterminants pour l'étendue de l'organisation de la conformité.

 

À cet égard, la mise en œuvre d'un système de gestion des risques adapté aux besoins de l'organisation et capable de répondre à ces exigences revêt une importance particulière. D'autres risques de responsabilité découlent - par exemple en Allemagne - des articles de la loi allemande sur les infractions administratives (OWiG). Plus précisément, la section 130 de l'OWiG définit les obligations de surveillance d'une organisation, en vertu desquelles une infraction ou un délit lié à l'entreprise est réputé avoir été évité ou rendu sensiblement plus difficile par une surveillance appropriée :

 

  • Sélection minutieuse des employés et des superviseurs
  • Organisation et répartition appropriées des tâches
  • Instruction et information adéquates des employés sur leurs tâches et leurs fonctions.
  • Supervision et contrôle suffisants des employés
  • Intervention contre les violations et, si nécessaire, sanction des violations

 

C'est pourquoi, non seulement les grandes entreprises, mais aussi les entreprises de taille moyenne, doivent mettre en place un système de gestion de la conformité (CMS), qui assure d'abord de manière préventive, mais aussi, si nécessaire, de manière répressive, l'obligation de légalité selon l'AktG ou la GmbHG et réduit considérablement ou évite complètement toute responsabilité des conseils d'administration ou des directeurs généraux. La valeur ajoutée d'un tel CMS consiste dans le fait qu'il ne se limite pas à la mise en œuvre de la loi sur la sécurité informatique, mais s'étend de manière holistique à toutes les exigences légales. Il intègre également les directives, règlements et codes de conduite internes de l'entreprise.

Normes du système de gestion
Dans le domaine des normes de systèmes de gestion, les exigences relatives à l'évaluation des risques et des opportunités ont également augmenté de façon notable ces derniers temps. Les certifications externes, cependant, créent des normes de sécurité élevées dans les entreprises requises. Dans de nombreux cas, il est même désormais obligatoire pour les entreprises de fournir la preuve de certaines certifications, par exemple lors de l'attribution de contrats ou d'appels d'offres dans le secteur public.

 

Entre autres, les règlements suivants fixent - dans ce contexte - les exigences essentielles de certification :

 

  • Gestion de la qualité selon la norme ISO 9001
  • Gestion du risque selon la norme ISO 31000
  • Système de gestion de la conformité selon l'IDW PS 980 ou ISO 19600
  • Sécurité de l'information ISO/IEC 27001

 

(82 visites, 1 visite aujourd'hui)

Plus d'articles sur le sujet

Conférence Infosec Healthcare 2025

Baromètre des risques d'Allianz : Les cyber-attaques resteront le principal risque mondial pour les entreprises en 2025

Forvis Mazars nomme de nouveaux associés en Suisse