RGPD : la motivation dont nous avions besoin ?

Je pense qu’il est temps d’adopter une position plus optimiste et raisonnée sur le règlement général sur la protection des données (RGPD) à l’approche de son entrée en vigueur. Lorsque cette nouvelle réglementation sera mise en œuvre en mai 2018, elle supplantera de facto l’embrouillamini de règles locales obsolètes qui se sont multipliées depuis la directive sur la protection de données de 1995. Le RGPD les remplacera par un mandat unique et uniforme, qui renforce les droits des citoyens de l’UE sur leurs données et clarifie les obligations en matière de confidentialité et de sécurité des organisations qui conservent et traitent des informations à caractère personnel.

Jusqu’à présent, le secteur a accueilli le RGPD avec énormément de pessimisme et une bonne dose d’anxiété. Il s’est focalisé sur les obligations de conformité plus strictes imposées aux entreprises assurant le traitement des données et sur les sanctions nettement plus sévères qui en sont le corollaire en cas de non-respect. Cette attitude frileuse est compréhensible au vu de la portée et de l’impact de cette nouvelle réglementation. Le RGPD aura diverses conséquences :

  • Il étend les droits des citoyens de l’Union européenne d’accéder à leurs données à caractère personnel et de les rectifier ou de les effacer, même si le traitement des données n’a pas lieu dans un État membre de l’Union européenne.
  • Il oblige les responsables du traitement des données et les sous-traitants à appliquer les mesures techniques et organisationnelles appropriées pour sécuriser toutes les données à caractère personnel.
  • Il limite et définit les circonstances particulières dans lesquelles les données à caractère personnel peuvent être collectées et utilisées, avec notamment des exigences plus strictes pour démontrer le consentement et permettre son retrait.
  • Il oblige les responsables du traitement des données et les sous-traitants à inclure des protections de la confidentialité dès la conception et par défaut dans leurs produits et opérations métier.
  • Il fait porter aux entreprises la responsabilité de démontrer que les garanties appropriées de protection de la vie privée sont en place pour assurer le respect des exigences réglementaires.
  • Il exige une notification dans les meilleurs délais des violations de données aux responsables pertinents et aux autorités de contrôle.
  • Il prévoit des amendes pour toute violation du règlement, pour des montants allant jusqu’à 20 millions EUR ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

 

Cela dit entre nous, d’un spécialiste en cybersécurité à un autre, je vous pose la question : ces obligations ne sont-elles pas parfaitement en accord avec les bonnes pratiques auxquelles nous sommes tenus ? Nos objectifs ne sont-ils pas les mêmes ? N’avons-nous pas pour mission de sécuriser les informations que nous utilisons et de protéger les droits et la vie privée des individus ? Tous, nous nous faisons un sang d’encre à la perspective d’une violation de données grave et de son impact sur la réputation et les résultats financiers de notre entreprise. Ne mettons-nous pas d’ores et déjà tout en œuvre pour protéger notre entreprise, notre employeur, nos collègues et nos clients ?

Qu’est-ce qui nous freine ? Pourquoi échouons-nous parfois dans cette mission ? Les causes sont multiples : un manque de ressources, une absence de soutien de la part de la direction, une stratégie d’entreprise dont les investissements se concentrent presque exclusivement sur les résultats financiers, la rentabilité ou le bénéfice par action, la sécurité des informations étant reléguée au rang de préoccupation secondaire.

Le RGPD pourrait bien se révéler providentiel, l’élément déclencheur grâce auquel nos dirigeants nous accorderont toute leur attention. Il délimite pour nous des priorités en matière de sécurité et de confidentialité qu’il est facile de comparer à nos propres listes de besoins et de vulnérabilités. Il nous donne un calendrier de référence à partir duquel nous pouvons mesurer les progrès accomplis. Il constitue en outre une épée de Damoclès qu’aucun directeur financier ne peut ignorer. En quelque sorte, il nous fournit à la fois la carotte et le bâton pour accroître la dotation en personnel ou le budget aux niveaux que nous avons toujours souhaités.

Inutile donc de broyer du noir. Le RGPD est une véritable opportunité : saisissons-la.

Leave a Comment

sixteen − seven =