Des propositions en faveur d’une législation européenne plus rigoureuse en matière de protection des données obligera les entreprises européennes à renforcer leurs pratiques de gestion des informations, indique Iron Mountain en préambule de la European Privacy and Data Protection Day (EPDP). Cette journée, qui se tiendra cette année le 28 janvier, a pour objectif d’attirer l’attention sur les problèmes liés à la protection des données et de recommander de bonnes pratiques aux organismes qui traitent chaque jour des données personnelles.
Cette nouvelle législation remplacera la directive Européenne de Protection des Données 95/46, une composante majeure de la Loi européenne sur la Vie Privée et les Droits de l’Homme, qui sert de référence aux entreprises depuis 13 ans. Il est prévu que la nouvelle législation réduira, pour de nombreuses sociétés, les exigences administratives de conformité. Néanmoins, elle imposera vraisemblablement aux entreprises de plus lourdes contraintes en matière de protection, reconnaissance et communication de leurs violations de données. De surcroît, la règlementation infligera des pénalités plus sévères aux sociétés qui failliront aux exigences légales.
Christian Toon, Directeur de la Sûreté des Informations chez Iron Mountain, pense que la règlementation proposée est une excellente nouvelle, à de nombreux titres, pour les usagers, l’absence d’une politique de gestion des informations solide et en conformité légale étant inexcusable. Cette règlementation devrait pousser les entreprises à sérieusement étudier leur système de gestion des informations et leur politique de sécurité existantes.
« De nombreuses entreprises de toute taille sont très en-deçà de ce qui est requis pour gérer de façon responsable leurs informations, » déclare Christian Toon. « De nos jours, dans notre environnement professionnel de plus en plus surveillé, l’absence d’une politique de gestion des informations solide et en conformité légale est inexcusable. Sans tenir compte du chiffre d’affaires, du secteur ou du pays, s’assurer que les informations concernant les salariés et les clients sont protégées devrait être une pratique courante, et non une réaction à une nouvelle législation. Les entreprises qui ne savent pas par où commencer devraient étudier les recommandations ISO 27002[1]. »
Le projet de la proposition européenne, révélée à la fin de l’an dernier, souligne trois exigences principales qui devraient, si elles sont intégrées dans la réglementation finale, avoir un impact à long terme sur la vie de nombreuses entreprises européennes. Ce projet controversé suscite de nombreuses discussions au sein de la Communauté Européenne. Les principales exigences du projet révélé l’an dernier sont :
· L’obligation de déclarer les violations de données.
Elle recommande que les Autorités de Protection des Données concernées et toutes les personnes touchées devront être prévenues sous 24 heures d’une violation de sécurité des données, y compris s’il s’agit d’une destruction non autorisée ou d’une perte de données. Les autorités de protection des données doivent être averties, même en l’absence de risque pour les données.
« La grande question est de savoir si la communauté professionnelle sera d’accord ou capable de s’auto-policer, » commente Christian Toon. « Si ce n’est pas le cas, les entreprises pourraient se voir confrontées à des inspections régulières des administrations légales compétentes. La définition de la « violation » devra également être clarifiée. Va-t-elle dépendre par exemple, du nombre d’enregistrements ou de documents affectés, ou du type d’informations piratées ? Les entreprises devraient se préparer aux deux cas de figures. »
· L’obligation de nommer des responsables de la sûreté des informations.
Les responsables de la sûreté des données devront être obligatoires pour toutes les instances publiques et toutes les entreprises de plus de 250 salariés.
« Cela va générer des coûts qui n’ont pas été prévus. Cela veut dire que les entreprises auraient tout intérêt à préempter la législation en intégrant ces coûts, » conseille Christian Toon. « Nommer un responsable de la sûreté des données est d’ores et déjà obligatoire en Allemagne. De nombreuses entreprises bénéficient de la possibilité de confier cette responsabilité supplémentaire à un salarié disposant de la qualification requise. Disposer d’une personne spécifique pour s’occuper de la protection des données est, de toute façon, une bonne pratique professionnelle. Les entreprises ne devraient pas attendre la législation officielle pour l’appliquer. »
· Des amendes fortement augmentées.
Aux termes de la proposition de loi, les autorités compétentes auraient le pouvoir d’infliger des amendes allant jusqu’à un million d’Euros ou, dans le cas d’une société, jusqu’à 5 % du chiffre d’affaires mondial annuel dans le cas de manquement à la législation.
« 5 % du chiffre d’affaires mondial est une somme énorme et potentiellement dévastatrice pour la plupart des entreprises, » conclut Christian Toon. « Que l’Europe soit prête à autoriser un tel niveau d’amende, montre bien à quel point la protection des données est prise au sérieux. Les sociétés ne doivent pas s’affoler, juste se préparer. Disposer de plans pour stocker et accéder à leurs données, former leurs salariés sont de vrais premiers pas. C’est aller dans le bon sens et, peut-être bientôt, dans le sens de la loi. »
[1] ISO 27002 est une norme de sûreté des informations publiée par l’ISO (International Organization for Standardization – L’Organisation Internationale de Standardisation), intitulée « Information technology – Security techniques – Code of practice for information security management » (Technologie des Informations – Techniques de sûreté – Codes de pratique de gestion de sûreté des informations). Cette norme fournit des recommandations des meilleures pratiques sur la gestion de sûreté des informations à l’attention des personnes responsables de l’étude, la mise en place ou la maintenance des ISMS (Information Security Management Systems – Systèmes de Gestion de la Sûreté des Informations). Pour plus d’informations, merci de vous connecter au site www.27000.org/iso-27002.htm
Cette nouvelle législation remplacera la directive Européenne de Protection des Données 95/46, une composante majeure de la Loi européenne sur la Vie Privée et les Droits de l’Homme, qui sert de référence aux entreprises depuis 13 ans. Il est prévu que la nouvelle législation réduira, pour de nombreuses sociétés, les exigences administratives de conformité. Néanmoins, elle imposera vraisemblablement aux entreprises de plus lourdes contraintes en matière de protection, reconnaissance et communication de leurs violations de données. De surcroît, la règlementation infligera des pénalités plus sévères aux sociétés qui failliront aux exigences légales.
Christian Toon, Directeur de la Sûreté des Informations chez Iron Mountain, pense que la règlementation proposée est une excellente nouvelle, à de nombreux titres, pour les usagers, l’absence d’une politique de gestion des informations solide et en conformité légale étant inexcusable. Cette règlementation devrait pousser les entreprises à sérieusement étudier leur système de gestion des informations et leur politique de sécurité existantes.
« De nombreuses entreprises de toute taille sont très en-deçà de ce qui est requis pour gérer de façon responsable leurs informations, » déclare Christian Toon. « De nos jours, dans notre environnement professionnel de plus en plus surveillé, l’absence d’une politique de gestion des informations solide et en conformité légale est inexcusable. Sans tenir compte du chiffre d’affaires, du secteur ou du pays, s’assurer que les informations concernant les salariés et les clients sont protégées devrait être une pratique courante, et non une réaction à une nouvelle législation. Les entreprises qui ne savent pas par où commencer devraient étudier les recommandations ISO 27002[1]. »
Le projet de la proposition européenne, révélée à la fin de l’an dernier, souligne trois exigences principales qui devraient, si elles sont intégrées dans la réglementation finale, avoir un impact à long terme sur la vie de nombreuses entreprises européennes. Ce projet controversé suscite de nombreuses discussions au sein de la Communauté Européenne. Les principales exigences du projet révélé l’an dernier sont :
· L’obligation de déclarer les violations de données.
Elle recommande que les Autorités de Protection des Données concernées et toutes les personnes touchées devront être prévenues sous 24 heures d’une violation de sécurité des données, y compris s’il s’agit d’une destruction non autorisée ou d’une perte de données. Les autorités de protection des données doivent être averties, même en l’absence de risque pour les données.
« La grande question est de savoir si la communauté professionnelle sera d’accord ou capable de s’auto-policer, » commente Christian Toon. « Si ce n’est pas le cas, les entreprises pourraient se voir confrontées à des inspections régulières des administrations légales compétentes. La définition de la « violation » devra également être clarifiée. Va-t-elle dépendre par exemple, du nombre d’enregistrements ou de documents affectés, ou du type d’informations piratées ? Les entreprises devraient se préparer aux deux cas de figures. »
· L’obligation de nommer des responsables de la sûreté des informations.
Les responsables de la sûreté des données devront être obligatoires pour toutes les instances publiques et toutes les entreprises de plus de 250 salariés.
« Cela va générer des coûts qui n’ont pas été prévus. Cela veut dire que les entreprises auraient tout intérêt à préempter la législation en intégrant ces coûts, » conseille Christian Toon. « Nommer un responsable de la sûreté des données est d’ores et déjà obligatoire en Allemagne. De nombreuses entreprises bénéficient de la possibilité de confier cette responsabilité supplémentaire à un salarié disposant de la qualification requise. Disposer d’une personne spécifique pour s’occuper de la protection des données est, de toute façon, une bonne pratique professionnelle. Les entreprises ne devraient pas attendre la législation officielle pour l’appliquer. »
· Des amendes fortement augmentées.
Aux termes de la proposition de loi, les autorités compétentes auraient le pouvoir d’infliger des amendes allant jusqu’à un million d’Euros ou, dans le cas d’une société, jusqu’à 5 % du chiffre d’affaires mondial annuel dans le cas de manquement à la législation.
« 5 % du chiffre d’affaires mondial est une somme énorme et potentiellement dévastatrice pour la plupart des entreprises, » conclut Christian Toon. « Que l’Europe soit prête à autoriser un tel niveau d’amende, montre bien à quel point la protection des données est prise au sérieux. Les sociétés ne doivent pas s’affoler, juste se préparer. Disposer de plans pour stocker et accéder à leurs données, former leurs salariés sont de vrais premiers pas. C’est aller dans le bon sens et, peut-être bientôt, dans le sens de la loi. »
[1] ISO 27002 est une norme de sûreté des informations publiée par l’ISO (International Organization for Standardization – L’Organisation Internationale de Standardisation), intitulée « Information technology – Security techniques – Code of practice for information security management » (Technologie des Informations – Techniques de sûreté – Codes de pratique de gestion de sûreté des informations). Cette norme fournit des recommandations des meilleures pratiques sur la gestion de sûreté des informations à l’attention des personnes responsables de l’étude, la mise en place ou la maintenance des ISMS (Information Security Management Systems – Systèmes de Gestion de la Sûreté des Informations). Pour plus d’informations, merci de vous connecter au site www.27000.org/iso-27002.htm