La nouvelle réglementation européenne sur la confidentialité des données concerne votre entreprise nord-américaine

Par John Farley

Le RGPD de l'UE, ou règlement général sur la protection des données, qui entrera en vigueur en mai 2018, a plus à voir avec les entreprises nord-américaines que vous ne le pensez.

Vous ne faites pas des affaires dans l'UE? Peu importe. Le RGPD de l'UE affecte toute entreprise qui propose des biens ou des services aux citoyens de l'UE ou gère leurs données personnelles. Cela comprend toute personne ayant des clients européens (hôtels et restaurants canadiens, détaillants en ligne et toute autre personne qui vend des produits à l'étranger). À l'ère numérique d'aujourd'hui, le RGPD de l'UE s'applique aux entreprises du monde entier.

Déjà couvert par une assurance cyber? Encore une fois, cela n'a peut-être pas d'importance. La plupart des polices cyber nécessitent un événement déclencheur, comme le piratage ou une intrusion dans le réseau, pour dédommager. Les amendes du RGPD pour non-conformité peuvent ne pas être suffisantes pour être considérées comme un déclencheur. La nouvelle réglementation peut imposer des amendes pour simplement avoir envoyé de la publicité à vos clients existants ou pour ne pas avoir obtenu leur consentement avant de recueillir leurs données personnelles. Les amendes peuvent aller jusqu’à 4% des revenus annuels de l’organisation ou 20 millions d’euros, selon le montant le plus élevé.

Les réclamations cyber courantes suivantes pourraient être soumises à des limitations ou exclusions en lien avec le RGPD. Lors de votre renouvellement annuel, renseignez-vous auprès de votre courtier et demandez comment vous pourriez être mieux couvert pour le RGPD.

• Les coûts du déploiement d'une équipe d’intervention internationale pour s’occuper des enquêtes sur les atteintes à la sécurité et des exigences de notification dans les juridictions internationales.
• Les demandes de dédommagement, telles que les recours collectifs en responsabilité civile intentés contre une organisation en lien avec les pratiques de l'entreprise en matière de données.
• Les amendes imposées par les régulateurs. Portez une attention particulière à la couverture des amendes et soyez conscient des pièges potentiels de la couverture, comme:
  • Amendes réglementaires pour les pratiques d'utilisation des données en l'absence d’atteinte à la sécurité
  • Violations intentionnelles par des employés malhonnêtes entraînant des refus d’indemnisation
  • Couverture des dommages-intérêts punitifs

Quelles sont les dispositions du RGPD de l'UE?

En règle générale, le RGPD s'applique à toute entreprise, quelle que soit sa situation géographique, qui recueille, conserve ou traite les informations personnelles d'un résident de l'UE. Autres faits à noter:

• Rapport d’atteinte à la sécurité des données dans les 72 heures:Dans ce qui est probablement l'exigence de déclaration la plus stricte au monde, les organisations doivent informer les personnes concernées des violations de données dans les 72 heures.
• Consentement:Dans certaines circonstances, les responsables du traitement des données devront démontrer qu'ils ont obtenu le consentement de la personne concernée avant de collecter ses informations. Le consentement doit toujours être donné explicitement et ne peut être présumé. Le fait de se fier à des cases précochées, au silence ou à une non-activité peut être considéré comme une violation de la disposition sur le consentement.
• Profilage:Des restrictions s'appliquent à la publicité ciblée, en particulier lors de la surveillance du comportement des individus à des fins commerciales, telles que le profilage et toute autre utilisation des informations personnelles à des fins d'analyse.
• Documentation procédurale:La documentation des activités de cueillette et de traitement des données sera désormais requise.
• Désigner un délégué à la protection des données:les organisations comptant plus de 250 employés à temps plein qui effectuent une surveillance systématique à grande échelle des individus ou un traitement à grande échelle de catégories spéciales de données personnelles seront tenues de nommer un délégué à la protection des données. Avant de s'engager dans des activités à risque de traitement des données, le délégué à la protection des données devra effectuer une évaluation formelle de l'impact de la protection des données.
• Vie privée dès la conception:Les organisations sont désormais tenues d'entreprendre des évaluations d'impact sur la confidentialité des données dans le cas où l'opération de traitement concernée est «susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques».
• Le droit d’effacer:Les personnes concernées auront des droits renforcés, dont le droit d’être oublié. Cela obligera les entreprises à prendre des mesures pour minimiser ou éliminer l'empreinte numérique des personnes concernées et réévaluer les politiques de conservation des données.

Comprendre toutes les options de police vous aidera à obtenir une couverture cyber plus étendue. Contactez votre courtier HUB dès aujourd'hui pour en savoir plus sur vos risques cyber face à la nouvelle loi et sur la manière de réussir à transférer le risque.