L'utilisation des données provenant des consommateurs est un sujet à la fois pertinent et sensible, qui a fait beaucoup de bruit récemment à la suite des changements de politiques de confidentialité de deux géants du net, Google et Facebook, et des divers cas de fuites ou vols de données personnelles au sein de grandes entreprises. De plus, l’essor des réseaux sociaux et de Twitter fait augmenter la pression sur un renforcement de la réglementation autour de la protection des données. Ce projet de règlementation impactera sans aucun doute les entreprises de toutes tailles, sur tous les secteurs, qui traitent des données à caractère personnel dans le cadre de leurs activités.
Ce nouveau projet de règlementation à l’initiative de l’UE a d'abord été publié en Janvier 2012. Une fois approuvé par le Parlement européen, il entrerait en vigueur deux ans plus tard. Non seulement cela laisse peu de temps aux sociétés pour préparer leurs systèmes de sécurité et leurs structures, mais aussi – et c’est peut-être plus inquiétant encore… –très peu d'entreprises semblent être conscientes de la charge de travail et des coûts impliqués dans la préparation de ces changements.
Alors que la règlementation actuelle concernant la protection des données personnelles des citoyens de l'UE est considérée comme obsolète et a besoin d'être uniformisée entre les pays membres de l'UE, le nouveau projet est radical : en cas de violation, les entreprises seraient passibles de peines sévères. Par exemple, la nouvelle règlementation obligerait les entreprises d’obtenir le consentement explicite des citoyens de l'UE avant d’utiliser leurs données personnelles, contrairement au cadre actuel qui permet simplement un consentement implicite utilisé (c’est par exemple ce qui est utilisé au Royaume-Uni aujourd'hui).
Un principe sous-jacent de la nouvelle réglementation est l'évaluation continue avec une obligation permanente de surveiller et de contrôler les données. Par exemple, dans le cas de projets il doit y avoir une évaluation de la confidentialité pour identifier pendant combien de temps les données personnelles seront traitées et stockées, avant qu'un projet prévoyant de manipuler ces données puisse démarrer,.
En termes d'application, l'une des difficultés associées à ce nouveau projet de règlement est qu'il s'appliquerait à des données personnelles pour tous les citoyens de l'UE, peu importe où elles sont stockées. Cela signifie qu’il s’agirait désormais d’un problème mondial, avec des implications pour les entreprises qui stockent ou traitent ces données partout dans le monde.
Quant aux sanctions, si le règlement n’est pas respecté, les entreprises seraient passibles d'amendes sur une échelle allant jusqu'à 2% du chiffre d'affaires annuel global ! De plus, il est probable que l'application sera stricte, puisque les concepteurs de ces règles auront l’intention de s’assurer que les régulateurs soient autofinancés.
En conséquence de la mise en vigueur du nouveau règlement, les entreprises devront mettre en œuvre de nouveaux processus et des modifications sur leurs systèmes, tels que les audits, les évaluations de la confidentialité, des nouvelles politiques, des mises à jour des consentements clients et de la surveillance supplémentaire. Bien sûr, tous ont un coût initial important, de même que le renforcement et la consolidation des organisations de protection des données dotés d’un personnel compétent et expérimenté.
En outre, les entreprises de plus de 250 salariés devraient désigner obligatoirement des agents de protection des données, ce qui entraînerait des augmentations de leurs frais généraux pour les plus grandes parmi elles.
Bien entendu, le règlement actuel n’est pas reformé sans bonne raison et même si dans un premier temps il y aurait une charge plus élevée et des coûts supplémentaires pour les entreprises, c’est préférable que de s'exposer à la menace croissante des cyber-attaques qui en fin de compte peuvent générer des dommages et des coûts très largement supérieurs.
Les actualités récentes ont démontré que les cyber-attaques sont un problème très réel et dangereux pour les entreprises. Les hackers sont prêts à employer les grands moyens pour voler des données. Dans un exemple, des dispositifs physiques d’espionnage capables de surveiller des claviers et capables de communiquer sans fil ont été trouvés dans un centre d’appel d'une grande banque.
Toutes ces menaces sont sophistiquées et extrêmement préoccupantes pour les personnes chargées de s'occuper de la sécurité des données au sein des entreprises.
Personne n’est vraiment à l’abri : l’Élysée a récemment connu deux cyber-attaques majeures au moment des élections présidentielles.
Robert Lentz, ancien secrétaire adjoint au ministère américain à la Défense, a produit un système de notation de la cyber-défense des différents pays. Les pays les plus efficaces dans ce rapport sont la Norvège, la Suède et Israël. La majeure partie des pays d'Europe se retrouve heureusement juste après… Les entreprises peuvent également intégrer la gestion de ces risques de cybercriminalité auprès de sociétés d’assurance. Si l’on en croit des informations dévoilées par le Financial Times Deutschland, un acteur bien connu de l’assurance en Europe et dans le monde a été choisi pour faire face à d’éventuelles cyber-attaques susceptibles de mettre à mal la production d’un grand conglomérat allemand industriel.
Ainsi, très concrètement, que doivent faire les entreprises pour faire face à une nouvelle règlementation des données plus rigoureuse ?
Tout d'abord, les entreprises doivent revoir leurs produits et services actuels afin de déterminer l'impact du nouveau projet de règlementation. Pour les entreprises qui s'appuient sur des contrats d’externalisation (infogérance), ou lorsque des éléments importants des services sont externalisés, c’est d’autant plus essentiel.
Ensuite, les entreprises devront évaluer l'impact global de la réglementation sur leurs activités pour identifier à quel point elles ont besoin d'être ajustées. À titre préventif, les responsables de données personnelles au sein des entreprises devraient déterminer s'il y aurait des mesures à prendre avant l’entrée en vigueur du nouveau règlement pour tenter de réduire l'impact financier et opérationnel de celui ci.
Enfin, et peut-être plus important encore, les entreprises doivent confier la responsabilité de suivre les progrès de la réglementation à une personne identifiée dans leur organisation ou à un conseiller externe. Ce conseiller devra mettre en place un processus de décision concernant les plans d’actions et les modifications à apporter aux produits, services et contrats d’infogérance. Cela aidera les entreprises à éviter les reprises coûteuses et à réduire le coût et l'impact de la mise en œuvre de cette nouvelle réglementation.
Reconnaitre l’ampleur de cette nouvelle législation et prendre des mesures pour préparer les systèmes est devenu désormais impératif pour les entreprises. Pour ceux qui ne parviendront pas à saisir l’importance de cette nouvelle réglementation, considérer l’éventualité de recevoir une amende égale à 2% de leur chiffre d'affaires annuel global devrait être une motivation plus que suffisante pour les faire agir rapidement.
Ce nouveau projet de règlementation à l’initiative de l’UE a d'abord été publié en Janvier 2012. Une fois approuvé par le Parlement européen, il entrerait en vigueur deux ans plus tard. Non seulement cela laisse peu de temps aux sociétés pour préparer leurs systèmes de sécurité et leurs structures, mais aussi – et c’est peut-être plus inquiétant encore… –très peu d'entreprises semblent être conscientes de la charge de travail et des coûts impliqués dans la préparation de ces changements.
Alors que la règlementation actuelle concernant la protection des données personnelles des citoyens de l'UE est considérée comme obsolète et a besoin d'être uniformisée entre les pays membres de l'UE, le nouveau projet est radical : en cas de violation, les entreprises seraient passibles de peines sévères. Par exemple, la nouvelle règlementation obligerait les entreprises d’obtenir le consentement explicite des citoyens de l'UE avant d’utiliser leurs données personnelles, contrairement au cadre actuel qui permet simplement un consentement implicite utilisé (c’est par exemple ce qui est utilisé au Royaume-Uni aujourd'hui).
Un principe sous-jacent de la nouvelle réglementation est l'évaluation continue avec une obligation permanente de surveiller et de contrôler les données. Par exemple, dans le cas de projets il doit y avoir une évaluation de la confidentialité pour identifier pendant combien de temps les données personnelles seront traitées et stockées, avant qu'un projet prévoyant de manipuler ces données puisse démarrer,.
En termes d'application, l'une des difficultés associées à ce nouveau projet de règlement est qu'il s'appliquerait à des données personnelles pour tous les citoyens de l'UE, peu importe où elles sont stockées. Cela signifie qu’il s’agirait désormais d’un problème mondial, avec des implications pour les entreprises qui stockent ou traitent ces données partout dans le monde.
Quant aux sanctions, si le règlement n’est pas respecté, les entreprises seraient passibles d'amendes sur une échelle allant jusqu'à 2% du chiffre d'affaires annuel global ! De plus, il est probable que l'application sera stricte, puisque les concepteurs de ces règles auront l’intention de s’assurer que les régulateurs soient autofinancés.
En conséquence de la mise en vigueur du nouveau règlement, les entreprises devront mettre en œuvre de nouveaux processus et des modifications sur leurs systèmes, tels que les audits, les évaluations de la confidentialité, des nouvelles politiques, des mises à jour des consentements clients et de la surveillance supplémentaire. Bien sûr, tous ont un coût initial important, de même que le renforcement et la consolidation des organisations de protection des données dotés d’un personnel compétent et expérimenté.
En outre, les entreprises de plus de 250 salariés devraient désigner obligatoirement des agents de protection des données, ce qui entraînerait des augmentations de leurs frais généraux pour les plus grandes parmi elles.
Bien entendu, le règlement actuel n’est pas reformé sans bonne raison et même si dans un premier temps il y aurait une charge plus élevée et des coûts supplémentaires pour les entreprises, c’est préférable que de s'exposer à la menace croissante des cyber-attaques qui en fin de compte peuvent générer des dommages et des coûts très largement supérieurs.
Les actualités récentes ont démontré que les cyber-attaques sont un problème très réel et dangereux pour les entreprises. Les hackers sont prêts à employer les grands moyens pour voler des données. Dans un exemple, des dispositifs physiques d’espionnage capables de surveiller des claviers et capables de communiquer sans fil ont été trouvés dans un centre d’appel d'une grande banque.
Toutes ces menaces sont sophistiquées et extrêmement préoccupantes pour les personnes chargées de s'occuper de la sécurité des données au sein des entreprises.
Personne n’est vraiment à l’abri : l’Élysée a récemment connu deux cyber-attaques majeures au moment des élections présidentielles.
Robert Lentz, ancien secrétaire adjoint au ministère américain à la Défense, a produit un système de notation de la cyber-défense des différents pays. Les pays les plus efficaces dans ce rapport sont la Norvège, la Suède et Israël. La majeure partie des pays d'Europe se retrouve heureusement juste après… Les entreprises peuvent également intégrer la gestion de ces risques de cybercriminalité auprès de sociétés d’assurance. Si l’on en croit des informations dévoilées par le Financial Times Deutschland, un acteur bien connu de l’assurance en Europe et dans le monde a été choisi pour faire face à d’éventuelles cyber-attaques susceptibles de mettre à mal la production d’un grand conglomérat allemand industriel.
Ainsi, très concrètement, que doivent faire les entreprises pour faire face à une nouvelle règlementation des données plus rigoureuse ?
Tout d'abord, les entreprises doivent revoir leurs produits et services actuels afin de déterminer l'impact du nouveau projet de règlementation. Pour les entreprises qui s'appuient sur des contrats d’externalisation (infogérance), ou lorsque des éléments importants des services sont externalisés, c’est d’autant plus essentiel.
Ensuite, les entreprises devront évaluer l'impact global de la réglementation sur leurs activités pour identifier à quel point elles ont besoin d'être ajustées. À titre préventif, les responsables de données personnelles au sein des entreprises devraient déterminer s'il y aurait des mesures à prendre avant l’entrée en vigueur du nouveau règlement pour tenter de réduire l'impact financier et opérationnel de celui ci.
Enfin, et peut-être plus important encore, les entreprises doivent confier la responsabilité de suivre les progrès de la réglementation à une personne identifiée dans leur organisation ou à un conseiller externe. Ce conseiller devra mettre en place un processus de décision concernant les plans d’actions et les modifications à apporter aux produits, services et contrats d’infogérance. Cela aidera les entreprises à éviter les reprises coûteuses et à réduire le coût et l'impact de la mise en œuvre de cette nouvelle réglementation.
Reconnaitre l’ampleur de cette nouvelle législation et prendre des mesures pour préparer les systèmes est devenu désormais impératif pour les entreprises. Pour ceux qui ne parviendront pas à saisir l’importance de cette nouvelle réglementation, considérer l’éventualité de recevoir une amende égale à 2% de leur chiffre d'affaires annuel global devrait être une motivation plus que suffisante pour les faire agir rapidement.