En résumé, voici quelques points importants à retenir :
- Les montants des amendes seront désormais considérables (2% du CA global d’un groupe – soit l’équivalent d’1.2 Milliard de dollars pour Microsoft en 2008). Et pour les organismes publics ce sera 1.000.000 d’euros. Fini les « il n’y a pas de sanctions ».
- 27 pays, un texte (mais un gros texte quand même : +80 pages / ~100 articles à digérer) !
- Fini les déclarations, mais bonjour la documentation et le DPO obligatoire dans les établissements publics et dans les entreprises > 250 personnes
- Il va falloir formaliser des études d’impact sur les risques pour les personnes pour certains traitements sensibles.
- L’adoption du règlement se fera entre 2013/2014 (optimistes) et 2016 (pessimistes).
D’un, point de vue purement SSI, il faut noter :
- Que le règlement impose la formalisation des études de risques de sécurité (implicite aujourd’hui dans l’article 34 de la loi). Mais quelle méthode faudra-t-il utiliser ?
- Que la Commission aura en outre la possibilité de préciser certaines mesures de sécurité (ex : IDS obligatoire dans tels cas, algorithmes de chiffrement).
- Une nouvelle obligation de notification à l’autorité nationale de contrôle des violations de données personnelles, étendue à tous les responsables de traitement (et pas uniquement aux OCE comme dans la loi actuelle).
- Que cette notification à la CNIL devra être faite sans délai, cad dès connaissance de la violation (la justification sera obligatoire si elle se fait +24h après).
- Et qu’enfin cette notification devra également être faite à la personne concernée. Il faudra expliquer à ses propres clients que leurs données sont parties dans la nature. Oui, ce sera douloureux…
