La quantité de données personnelles divulguées par les entreprises qui les stockent ou les traitent a augmenté à un rythme alarmant au cours de ces dernières années. La fuite de données record de Yahoo en 2016 (estimée à un demi-milliard de données volées) semblait difficile à battre, mais a été dépassé par un seul incident pas plus tard que cette année. Un spammer tristement célèbre appelé River City Media a divulgué, parmi d’autres détails personnels, 1,37 milliards d’adresses mail, un montant tout simplement ahurissant.
Etant donné les centaines de millions de personnes potentiellement affectées par une seule fuite, et la question épineuse de la sécurité des données personnelles dans plusieurs pays à travers le monde, les problèmes de confidentialité des données et de sécurité ont attiré tout naturellement l’attention des politiques.
Les gouvernements commencent à prendre des mesures. Par exemple, au cours des 12 prochains moins, les entreprises qui font des affaires au sein de l’Union Européenne seront tenues de se conformer à une nouvelle série de règles de confidentialité des données : le Règlement général sur la protection des données (GDPR). Le Règlement général sur la protection des données est conçu pour unifier les lois de protection des données dans toute l’Europe et fixer des obligations de conformité pour la circulation des données au sein de l’UE et entre les Etats membres de l’UE et leurs partenaires mondiaux. Il vise essentiellement à améliorer la gestion et le stockage des données personnelles et les garder à l’abri d’une mauvaise utilisation.
Voici un aperçu de cette initiative :
Qu’est-ce que le Règlement général sur la protection des données ?
Premièrement, le Règlement général sur la protection des données améliore la définition vague des informations personnelles selon la Directive européenne de protection des données personnelles (« toute information relative à une personne physique vivante, identifiée ou identifiable ») et ajoute plus de contexte. Selon les modifications qui prendront effet l’année prochaine, ces données telles que les adresses IP, les informations sociales, génétiques, sur la santé mentale, culturelles ou économiques seront considérées comme personnelles. Même les surnoms et les pseudonymes sont inclus, dans plusieurs cas ils peuvent être attribués à un individu en particulier au sein d’une entreprise. Les noms, téléphones et adresses des clients, les dossiers des fournisseurs et du personnel relèveront de cette définition.
Deuxièmement, le Règlement général sur la protection des données définit un nombre de mesures visant à augmenter la transparence de la gestion et du contrôle des données : un consentement plus strict sera requis de la part des utilisateurs, et ces derniers pourront révoquer leur consentement quand bon leur semble. Les utilisateurs obtiendront le droit de demander des informations sur comment, où et à quelles fins leurs données personnelles sont traitées. Les utilisateurs pourront également demander toutes leurs données personnelles aux entreprises qui utilisent leurs données et auront le droit de demander leur suppression des serveurs de l’entreprise.
Enfin, les processus de protection des données doivent être inclus depuis le début lors de la conception de nouveaux systèmes pour mettre en œuvre le principe de la « confidentialité dès la conception ». Qui plus est, les entreprises dont les activités principales comprennent un traitement d’importants volumes de renseignements personnels seront tenues d’avoir un délégué à la protection des données. Bien que ces mesures visent à réduire la probabilité d’une fuite de données, dans le cas où une serait amenée à se produire, les entreprises seront obligées de la signaler dans les 72 heures aux contrôleurs des données afin qu’ils soient tenus au courant de l’évènement.
Ces entreprises qui ne respecteront pas ces règles subiront de graves pénalités financières, allant jusqu’à 4% du chiffre d’affaires global annuel (autrement dit les revenus) ou jusqu’à 20 millions de dollars, le plus élevé des deux. Oui vous avez bien lu, le chiffre d’affaires global annuel. Pour les entreprises internationales, même celles qui ne sont pas présentes physiquement en Europe, la législation englobe toutes les données personnelles qu’elle contrôle et gère des citoyens européens, que le processus ait lieu dans l’UE ou ailleurs.
Dans les prochains mois, nous verrons comment le Règlement général sur la protection des données va affecter les différents départements de votre entreprise : Informatique, Ressources Humaines, Ventes et Marketing, Légal, Finances, et Comptabilité. Êtes-vous prêt ? Nous sommes là pour vous guider à travers le processus de préparation.