La semaine passée a été importante pour vous et vos informations personnelles, que vous viviez ou non dans l'UE.
Le règlement général sur la protection des données, qui définit des lignes directrices sur la manière dont les informations personnelles des citoyens de l'UE sont collectées et traitées, est maintenant officiel. C'est une excellente idée - des règles uniformes sur la manière dont vos informations sont collectées, stockées et comment les récupérer, se font attendre depuis longtemps. Il y a eu (et continuera d’être) de nombreuses discussions sur ce qui est bon, mauvais et moche dans le GDPR, mais la plupart des personnes travaillant dans la sécurité de l’information conviennent que les objectifs sont bien intentionnés et fourniront le type de protection dont nous avons tous besoin. le 21ème siècle.
Une foule de sites Web populaires ne sont tout simplement pas accessibles aux visiteurs européens, car vous n'êtes pas en conformité avec le GDPR.
Les articles individuels de GDPR, cependant, ne sont pas universellement loués. Entrés en vigueur vendredi 25 mai, nous voyons déjà des retombées: le New York Daily News, le Chicago Tribune, le LA Times et d'autres sites Web prestigieux ne sont plus disponibles dans les pays couverts par la réglementation GDPR car ils n'étaient pas prêts pour la nouvelle réglementation.. De nombreux autres sites Web et services en ligne ont bombardé les utilisateurs de nouvelles conditions, et des plaintes ont déjà été déposées contre les géants de la technologie Google et Facebook car ils n'offrent pas de services gratuits sans permettre aux utilisateurs de se retirer de la collecte de données.
Plus: Google facilite la compréhension et la gestion des données utilisateur collectées {.cta.large}
Des problèmes comme ceux-là ne sont pas surprenants. Le GDPR, qui, selon la moitié des participants à Infosecurity Europe 2018, ne se préparera bientôt pas, ne pense pas non plus que les services en nuage vont perdre des revenus et être obligés d'augmenter leurs prix. Ils estiment également que le RGPD freinerait l’innovation car les petites organisations ne pourront pas se permettre les infrastructures nécessaires pour se conformer. C'est une bonne discussion entre les personnes qui doivent en discuter. Une meilleure vie privée vaut les heures de va-et-vient nécessaires pour bien faire les choses.
Mais il y a une partie du RGPD qui, à mon avis, fera plus de mal que de bien: la règle de déclaration de l'article 33 de 72 heures. Vous pouvez lire le texte intégral ici, mais l'essentiel est qu'une entreprise qui conserve l'identification personnelle des citoyens de l'Union européenne est pleinement responsable de toute violation de la sécurité, quelle qu'en soit la raison, et doit divulguer toute l'information à un comité de surveillance dans les 72 heures. d'une brèche. Cette règle n'a rien de bien, mais deux éléments vont amener les prestataires de services à couvrir les violations de données plutôt que de les signaler de manière responsable.
Le premier est le comité de surveillance. Différents pays ont des manières différentes de gouverner leurs citoyens, mais un point commun à tous est le traitement préférentiel en matière de création et de dotation en personnel des comités officiels. Un ami d'un ami ou ce cousin germain qui ne peut s'empêcher de demander un document est le candidat idéal pour un siège de comité. Lorsque l'objectif principal est de protéger les données des utilisateurs, seules les personnes les plus qualifiées doivent être prises en compte. Espérons que c'est exactement ce qui est fait ici et que les réglementations peuvent être adaptées et appliquées par des personnes qui ont nos intérêts à coeur et sont qualifiées.
Les petites entreprises qui ne disposent pas des ressources nécessaires pour mener une enquête pour violation complète peuvent choisir de les dissimuler.
Le reportage forcé de 72 heures est un problème plus important. Même une organisation Fortune 500 dotée d'un personnel complet ne saura pas assez sur la violation de données pour commencer à déposer des rapports avec un organisme gouvernemental. Compte tenu de la brièveté du délai, attendez-vous à ce que le responsable de la sécurité des informations de l'entreprise déclare qu'il y a eu violation et que nous ne sommes pas encore sûrs des détails. Ce n'est rien de plus qu'une perte de temps pour toutes les personnes impliquées, et je préférerais plutôt passer du temps à chercher à savoir pourquoi, comment, quand et qui entoure tout type de violation de données.
Une entreprise plus petite qui peut déjà avoir du mal à se conformer à la réglementation GDPR sera tentée d'enquêter si elle peut contenir la violation et limiter les dommages elle-même sans aucun rapport. Lorsque vous êtes sous pression et en sous-effectif, une dissimulation peut sembler être la bonne option.
Clairement, ça ne l'est jamais. Mais il est de notoriété publique que les entreprises, grandes et petites, choisissent toujours et toujours la mauvaise option. Toute réglementation conçue pour protéger les utilisateurs des entreprises qui prennent de mauvaises décisions est préférable sans règle qui les pousse à le faire.
La déclaration responsable et rapide d'un vol de données est indispensable. Forcer les entreprises qui exploitent et conservent nos données à agir correctement n’est pas très utile sans cela. Créer le bon comité de surveillance composé des bonnes personnes pour réviser le traitement des introductions par effraction - ou même offrir de l'aide quand cela se produirait - contribuerait grandement à faire du GDPR un modèle à suivre pour le monde entier.
