Trois étapes pour accueillir le RGPD

En mai 2018, une nouvelle loi européenne sur la protection des données personnelles entre en vigueur : le RGPD. Certains parlent de LA PLUS GRANDE modification jamais apportée aux lois européennes sur la protection de la vie privée. D’autres disent qu’il s’agit d’une voie vers la révolution. Quoi qu’il en soit, les entreprises du monde entier se dépêchent de se mettre en conformité à temps. Elles craignent d’encourir de lourdes sanctions.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) de l’Union européenne entre en vigueur.

Fondamentalement, cela signifie que le règlement de l’UE remettra à neuf la façon dont les entreprises traitent leurs données. Elles seront obligées à les rendre plus accessibles aux utilisateurs. Les entreprises n’ont plus le droit d’utiliser les données des utilisateurs comme elles le souhaitent. Il s’agit de mettre en place un ensemble unique de règles en matière de confidentialité des données dans toute l’Europe. Mais les entreprises européennes ne sont pas les seules concernées. Toute société souhaitant faire des affaires avec une organisation européenne est soumise au RGPD.

Considérant que la vie privée et la protection des données sont deux droits fondamentaux, l’Union européenne a décidé de faire en sorte que ses quelque 510 millions d’habitants disposent désormais du même cadre juridique et digital. Le RGPD a été décidé pour protéger la vie privée des personnes. Cependant, le buzz autour d’Internet continue de se concentrer sur le fait que le règlement n’a pas eu le meilleur des entreprises à l’esprit. Les grandes entreprises ont compris qu’il était temps de suivre les règlements.

Récemment, Erin Egan, responsable de la protection de la vie privée chez Facebook, a publié une analyse complète des « principes de protection de la vie privée » de l’entreprise. Elle a déclaré que les utilisateurs sont entièrement responsables de leurs propres données partagées. On peut supposer que cette publication s’inscrit dans le cadre de la future loi RGPD. Cela montre que Facebook se conforme aux réglementations. Normalement, lorsque Facebook le fait, le reste du monde suit.

La période de grâce de deux ans dont les entreprises ont bénéficié depuis l’adoption du RGPD est désormais terminée. Il est temps de passer aux choses sérieuses ! Après le 25 mai de cette année, les organisations s’exposent à de lourdes amendes si elles ne se conforment pas à la nouvelle réglementation.

Cet emballage brillant de la réglementation sur la confidentialité des données n’est pas nouveau. Le partage des données est à l’ordre du jour de l’UE depuis un certain temps. C’est comme jouer au monopoly avec des pièces de ludo. Personne ne savait exactement ce qui se passait auparavant, mais aujourd’hui, une mesure a été prise pour garantir qu’il n’y ait qu’un seul ensemble de règles pour tous les joueurs. Cela rend les choses « plus simples » à comprendre pour tout le monde.

Il n’est pas exagéré de qualifier ce changement de « plus grand changement de l’histoire de l’Europe ». Il ne faut pas oublier que les lois européennes sur la confidentialité des données n’ont été créées que dans les années 90. Malgré cela, certains facteurs importants vont changer dès maintenant:

En tant que personne privée, vous avez le droit d’être informé des données détenues. Les droits couvrent également l’accès, l’effacement, et le droit de s’opposer au contenu. Aussi, vous avez le droit de ne pas faire l’objet d’une « prise de décision automatisée » (profilage), etc.

Entre autres réglementations, ces obligations incluent un parcours de responsabilité clair. Elles précisent la manière dont les organisations obtiennent le consentement des individus avant de collecter leurs informations.

Il y a également deux termes différents à apprendre : contrôleur et sous-traitant. Un contrôleur est une personne ou un groupe qui décide de la finalité de l’utilisation des données à caractère personnel. Le sous-traitant est la personne ou le groupe qui traite les données pour le compte du contrôleur. Hormis le cas où des obligations contractuelles directes sont appliquées au nom du responsable du traitement, les sous-traitants ne sont pas tenus responsables de la perte ou de l’exposition d’informations.

L’un des changements dont on parle le plus dans le cadre de l’application du RGPD concerne toutes les amendes auxquelles les entreprises pourraient être confrontées.

Lorsqu’une entreprise ne traite pas correctement les données personnelles, elle s’expose à des sanctions. Ne pas désigner de délégué à la protection des données quand cela est requis peut également entraîner une amende. Enfin, en cas de faille de sécurité non signalée, les conséquences peuvent être tout aussi sévères. Et ce ne sont là que quelques exemples.

Et sur le plan financier, il ne s’agit pas d’une question de sous ou de centimes. Les infractions mineures peuvent donner lieu à des amendes allant jusqu’à 2 % (ou 10 millions d’euros) du chiffre d’affaires mondial d’une entreprise. Par contre, les infractions plus importantes, aux conséquences plus graves, peuvent donner lieu à des amendes allant jusqu’à 4 % (ou 20 millions d’euros) du chiffre d’affaires mondial.

(Cliquez ici pour lire les 88 pages de l’acte législatif RGPD de l’UE de 2016).

Lorsque Akin Gump Strass Hauer & Feld a publié son Top 10 des sujets pour les administrateurs en 2018, le RGPD et la cybersécurité ont été des sujets largement discutés. Ils ont énuméré les meilleures pratiques pour aller de l’avant. Le rapport insiste fortement sur l’engagement de la haute direction et la formation des employés. Il contient des instructions et des lignes directrices détaillées sur la façon de gérer la perte d’informations sensibles. C’est un point sur lequel de nombreuses entreprises se concentrent déjà fortement.

Si votre entreprise s’est déjà préparée à la transition, voici trois étapes supplémentaires pour accueillir le RGPD et en faire un ami.

Pour s’adapter au RGPD, il ne suffit pas de suivre les règles. La confidentialité des données et la cybersécurité ne doivent pas être une priorité, mais un état d’esprit. Des mesures doivent être prises depuis la base de l’entreprise jusqu’aux cadres et aux membres du conseil d’administration. De plus, enseigner aux employés comment traiter les données personnelles et respecter la vie privée est désormais un élément clé de la gouvernance d’entreprise.

L’époque actuelle est celle du Big Data. Les informations personnelles sont une source d’argent, comparée au « nouveau pétrole ». Les entreprises qui tirent profit du traitement des données personnelles doivent désormais savoir ce qu’il est permis de faire. Et ce qu’il est supposé faire avant de suivre les routines des années précédentes. Il y aura des moyens de se conformer à la loi sans perdre des revenus importants. Il suffit de suivre les bonnes voies.

Lors de la sélection d’une solution de sécurité logicielle, les entreprises devraient choisir des fournisseurs qui peuvent les informer de l’emplacement de leurs serveurs. Selon le RGPD, le transfert de données vers un tiers situé en dehors de l’UE et ne disposant pas de normes de protection des données adéquates n’est autorisé que dans des circonstances exceptionnelles. Il est donc essentiel de disposer d’un serveur situé en Europe (ou dans l’un des onze autres pays répondant aux normes de l’UE).

DiliTrust est le leader des solutions de gouvernance et ses serveurs sont situés en Europe et au Canada. Vous pouvez donc nous faire confiance pour la mise en conformité avec le RGPD de l’UE. De plus, avec les solutions logicielles de DiliTrust, vous pouvez facilement gérer et partager toutes vos nouvelles routines n’importe où, n’importe quand. Contactez-nous dès aujourd’hui pour savoir comment nous pouvons vous aider à vous adapter aux nouvelles réglementations en matière de confidentialité des données.