La législation GDPR contient des règles strictes en matière de protection des données. Si vous utilisez des drones pour travailler dans l’UE, nous vous proposons ci-dessous quelques considérations pour vous aider à vous conformer à cette loi.
Car le fait est là : l’utilisation des drones à des fins commerciales a augmenté de manière exponentielle ces dernières années. Les inspections – tant internes qu’externes – sont l’une des applications qui ont connu la croissance la plus rapide. Mais l’utilisation des drones a également augmenté dans plusieurs autres secteurs tels que la surveillance, l’agriculture, la livraison, etc.
Cette évolution a toutefois suscité des inquiétudes quant au respect de la vie privée. Et comme dans toute entreprise, il est important de connaître les lois sur la protection de la vie privée, même lorsque vous utilisez des drones à des fins professionnelles. Il est donc important de comprendre comment le GDPR affect votre entreprise et comment assurer la conformité.
Principes clés du GDPR à suivre lors de l’utilisation de drones
Pour garantir la conformité avec la législation GDPR, il n’y a pas moins de quatre principes à garder à l’esprit lorsque vous déployez des drones pour votre entreprise.
1. Comprendre les données personnelles et les droits relatifs aux données
En termes de GDPR, les données privées ou personnelles font référence aux informations concernant une personne identifiable. Il peut s’agir de photos, de vidéos et d’enregistrements audio qui vous permettent d’identifier les sujets des données capturées par votre drone.
Ici, il est donc important de savoir quels sont les droits des individus sur ces données. Par exemple, ils ont le droit d’accéder aux photos et vidéos d’eux prises par des drones d’une autre organisation. Et ils peuvent demander que toutes les données personnelles que vous détenez en tant qu’entreprise soient supprimées.
2. Réduire au minimum la collecte et le stockage des données
Voulez-vous vous conformer à cette législation autant que possible ? Ensuite, vous devez minimiser, voire anonymiser, la collecte et le stockage des données.
Idéalement, les entreprises ne devraient collecter des données privées que lorsque cela est nécessaire à leurs activités. Mais si vous exploitez un drone, il est plutôt difficile d’obtenir le consentement des passants à la collecte et à l’utilisation de leurs données. Néanmoins, l’Administration fédérale de l’aviation a établi certaines règles de vol qui peuvent vous aider à minimiser la collecte de données.
- Évitez de survoler des groupes de personnes.
- Estompez les plaques d’immatriculation et les visages.
- En général, essayez d’éviter autant que possible de collecter des informations permettant d’identifier les personnes.
3. Mettre en oeuvre des processus de protection des données
Les photos, vidéos et enregistrements audio contenant des informations d’identification doivent être stockés en toute sécurité et rendus inaccessibles aux personnes non autorisées ou aux tiers. Les principaux moyens d’y parvenir sont le cryptage des données, l’utilisation de mots de passe forts et/ou l’authentification à deux facteurs. N’oubliez surtout pas un solide plan de secours!
4. Disposer d’une politique de confidentialité officielle
Disposer d’une politique de confidentialité officielle où vous documentez tous ces processus est un autre élément crucial de la conformité au GDPR. Publiez-le sur votre site web et à d’autres endroits pertinents. Elle peut protéger votre entreprise en cas de litige sur les données personnelles.
Dans cette politique, indiquez quel type de données vos drones capturent et comment elles sont utilisées, stockées et partagées. Décrivez également les droits des personnes concernées et la manière dont elles peuvent vous joindre si elles ont des questions ou des préoccupations concernant leurs données privées.
La conformité au GDPR consiste-t-elle uniquement à se conformer à la loi?
Pas du tout ! La conformité au GDPR peut bénéficier à votre entreprise de plusieurs façons. Il n’y a moins de trois avantages que la conformité au GDPR peut vous apporter.
1. Une confiance accrue des clients
En vous conformant à cette législation, vous prouvez à vos clients que votre entreprise peut stocker et protéger leurs données privées en toute sécurité. La législation exige que les entreprises désignent un responsable de la protection des données chargé de superviser les processus de protection des données et de procéder à des audits réguliers des activités de traitement.
2. Réduire les coûts de maintenance
En poursuivant la mise en conformité avec le GDPR, vous pouvez réduire vos coûts d’exploitants de plusieurs façons. Tout d’abord, vous allez consolider le stockage de vos données. Cela signifie que votre inventaire de données sera continuellement mis à jour. Ainsi, vous devrez consacrer moins d’argent à son entretien, tant en termes d’infrastructure que d’entretien et d’heures de travail.
Toutefois, le GDPR vous permet de ne vous engager qu’avec les clients intéressés. Grâce à la politique d’opt-in obligatoire, par laquelle les personnes concernées autorisent la communication de leurs données personnelles, vous ne communiquez qu’avec les prospects pertinents qui ont explicitement demandé à entrer en contact avec votre entreprise.
3. Alignement sur l’évolution de la technologie
Un autre aspect de la conformité au GDPR est l’obligation pour les organisations d’améliorer la sécurité de leur réseau et de leurs applications.
En utilisant les dernières technologies, comme l’IoT, le cloud computing et la virtualisation, votre entreprise peut gérer encore mieux des quantités croissantes de données et, par conséquent, offrir aux clients un service encore meilleur. Il vous aidera également à rester vigilant face aux éventuelles violations de données, qui sont de plus en plus fréquentes et sophistiquées. En effet, ces outils suivent les données des journaux et les données transférées en dehors de votre réseau. Ils surveillent également l’intégrité de vos dispositifs d’extrémité, de vos applications et de l’ensemble du réseau y compris le cloud, et envoient des alertes lorsqu’ils détectent une anomalie.
Comment maintenir la conformité au GDPR dans le secteur pétrolier et gazier – et au-delà
Le règlement général sur la protection des données (GDPR) est entré en vigueur le 25 mai 2018, remplaçant la précédente loi sur la protection des données de 1998, en réponse à l’augmentation du nombre de violations de données à l’échelle mondiale et à l’avènement de l’utilisation quotidienne d’internet.
Après son adoption, toutes les organisations qui stockent, transfèrent et traitent des données personnelles de résidents de l’UE ont dû se conformer à la nouvelle réglementation plus stricte en matière de protection des données.
Mais se mettre en conformité avec le GDPR n’est pas une tâche facile. Le GDPR est l’une des lois les plus strictes au monde en matière de protection de la vie privée, et pour s’y conformer, les entreprises doivent approfondir leurs activités de traitement, leurs communications avec des tiers, l’accès des clients et la protection des données personnelles. Et le processus ne s’arrête pas une fois que vous êtes en conformité. Par conséquent, quelques conseils intéressants.
1. Effectuer des audits continus
Vous devez effectuer des audits continus de vos activités de traitement des données pour maintenir la conformité au GDPR.
Un aspect crucial de la réalisation d’audits réguliers consiste à effectuer une analyse d’impact sur la protection des données. Ces évaluations peuvent aider les organisations à déterminer comment les employés désignés manipulent et traitent les informations sensibles, telles que les données sur le comportement des clients, la localisation, la santé et même la religion.
2. Nommer un délégué à la protection des données
L’article 37 du GDPR impose aux entreprises et aux organisations de désigner un délégué à la protection des données (DPD) chargé de superviser l’ensemble de leur stratégie de protection des données. C’est notamment le cas si vous traitez des données sous l’autorité du gouvernement, si vous les collectez par une surveillance systématique et si vous les traitez à grande échelle. Malheureusement, le GDPR ne donne pas une définition exacte des données « à grande échelle ». Vous voulez être sûr ? La nomination d’un DPO est alors indispensable. Cette personne
- Conseille continuellement les contrôleurs et les processus sur les pratiques de conformité au GDPR et les mises à jour de la réglementation des données.
- Supervise le traitement des données pour assurer la conformité au GDPR.
- Assure une évaluation précise de l’impact du blindage des données.
- Traite les demandes de traitement de données.
- Agit en tant qu’intermédiaire entre les régulateurs GDPR et l’entreprise.
- Évalue tous les risques associés aux diverses activités de traitement des données.
3. Fournir une formation complète et continue au personnel
La formation continue du personnel est un autre moyen de maintenir la conformité au GDPR.
Malheureusement, 88% des violations de données – une énorme majorité – sont dues à des erreurs des employés, intentionnelles ou non. Par conséquent, vous devez tenir vos employés informés des meilleures pratiques en matière de sécurité des données :
- Informer les employés sur les concepts clés de la confidentialité des données et du GDPR et sur leur importance.
- Expliquer comment les tâches quotidiennes peuvent conduire à des violations de données.
- S’assurer que les employés n’utilisent pas d’appareils.
- Organisez une formation sur la confidentialité et la sécurité des données pour les nouveaux employés (et envisagez une formation de remise à niveau pour les employés existants).
4. Signalez immédiatement les violations de données
La déclaration immédiate des violations de données est obligatoire en vertu du GDPR. En particulier, l’article 33 impose aux responsables du traitement et aux sous-traitants de signaler les incidents de violation de données dans les 72 heures. Le signalement des violations de données doit se faire de manière hiérarchique comme suit:
- Les sous-traitants doivent signaler les violations de données aux responsables du traitement des données.
- Les responsables du traitement le signalent à une autorité de contrôle ou à une association de protection des données. Ils sont responsables de l’application et du contrôle. Ils sont également le premier point de contact pour les questions relatives au GDPR dans une organisation. Sont-ils situés dans un État membre de l’UE ? Si c’est le cas, ils peuvent imposer des amendes aux responsables du traitement des données et aux sous-traitants pour non-respect de la loi.
5. Vérifier l’âge des utilisateurs qui consentent au traitement des données personnelles
Le GDPR permet aux organisations de collecter et de traiter les données des personnes âgées de plus de 16 ans. Pour collecter légalement des données personnelles auprès des jeunes, vous devez demander le consentement des parents, du tuteur ou des personnes chargées de la responsabilité parentale de l’enfant. Si des citoyens de l’UE âgés de moins de 16 ans interagissent avec votre site, vous devez inclure une option de vérification de leur âge avant de collecter des données personnelles.
6. Évaluer régulièrement les risques liés aux tiers
En vertu du GDPR, vous êtes responsable de la manière dont les entreprises tierces collectent, stockent et partagent les données personnelles de vos organisations. À ce titre, vous devez vous assurer que les entreprises tierces maintiennent la conformité au GDPR dans toutes leurs pratiques de collecte de données. Si nécessaire, vous devez mettre à jour les contrats pour prévoir des mesures de conformité.
7. Mettez à jour votre politique de confidentialité
Le GDPR exige que les organisations disposent d’une politique de confidentialité détaillée et facilement accessible sur leur site web. De même, vous devez informer vos clients par courrier électronique chaque fois qu’une mise à jour est effectuée. Idéalement, la politique de confidentialité devrait décrire comment les données privées sont collectées, stockées et utilisées. Il est conseillé de demander un avis juridique lors de la rédaction d’une politique de confidentialité.