Le règlement général sur la protection des données (RGPD) est une affaire sérieuse, comme le sait tout gestionnaire de risques digne de ce nom. Mais face à un enjeu aussi important, il ne sert à rien que seule une minorité soit au courant de l’exercice.
Faut-il donc en faire plus pour faire passer le message dans l’ensemble de l’entreprise ? Si de nombreux spécialistes des risques sont probablement bien informés et ont participé à des séminaires et à d’autres formations sur ce nouveau texte législatif essentiel, d’autres pourraient être moins conscients des nouvelles responsabilités onéreuses qu’il implique.
De plus, il entrera en vigueur dans moins d’un an, en mai 2018. Malgré le Brexit, la conformité au GDPR sera essentielle pour toute entreprise traitant des données personnelles provenant de l’UE, quel que soit son lieu d’activité. Parmi les principaux changements, citons l’obligation de notifier les violations à l’ICO au plus tard 72 heures après en avoir pris connaissance, ainsi que l’introduction d’amendes potentiellement dévastatrices. Celles-ci passent du plafond actuel de 500 000 euros fixé par l’ICO à 20 millions d’euros ou à 4 % du chiffre d’affaires annuel mondial, et des dispositions prévoient des recours collectifs et des poursuites individuelles en fonction de l’infraction.
GDPR – 8 faits essentiels
1) Le GDPR s’applique à toutes les entreprises du monde entier qui traitent les données personnelles des citoyens de l’UE – il s’agit de la première loi de protection mondiale. 2) En vertu du GDPR, toute donnée pouvant être utilisée pour identifier un individu est considérée comme une donnée personnelle. 3) Un langage simple et clair doit être utilisé lorsque les entreprises demandent le consentement pour collecter des données – le silence du client n’est pas synonyme de consentement. 4) Un délégué à la protection des données (DPD) doit être désigné dans les cas suivants : autorités publiques (à l’exception des tribunaux agissant dans l’exercice de leurs fonctions judiciaires) ; entreprises effectuant un suivi systématique à grande échelle des personnes (par exemple, suivi du comportement en ligne) ; entreprises effectuant un traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations pénales et à des infractions. 5) Un seul délégué à la protection des données peut être désigné pour agir pour un groupe d’entreprises ou pour un groupe d’autorités publiques, en tenant compte de leur structure et de leur taille. 6) Toute organisation peut désigner un délégué à la protection des données, que le GDPR l’oblige ou non à le faire. 7) Une entreprise doit s’assurer que son organisation dispose d’un personnel et de compétences suffisants pour s’acquitter de ses obligations au titre du GDPR. 8) Auparavant, seuls les responsables du traitement des données étaient considérés comme responsables des activités de traitement des données, mais le GDPR étend la responsabilité à toutes les organisations qui traitent des données à caractère personnel. Si les gestionnaires de risques connaissent bien les tenants et les aboutissants du GDPR, et que nombre d’entre eux ont probablement effectué des tests de conformité et peut-être élaboré une stratégie de gestion des violations, le moment est venu de s’assurer que tous les employés qui manipulent et stockent des données sont informés de la même manière. Le GDPT n’est pas un texte législatif obscur qui arrivera et sera ensuite oublié, et il ne peut pas être présenté au département informatique comme faisant partie de ses attributions. Les gestionnaires de risques pourraient bien vouloir expliquer que la sécurité des données est une responsabilité qui incombe à l’ensemble de l’organisation. Il pourrait également y avoir un message qui ne se concentre pas uniquement sur les aspects punitifs. Le fait d’être responsable en matière de données personnelles est un attribut positif et l’introduction de procédures plus strictes, si nécessaire, peut s’avérer positive. Nombreux sont ceux qui reconnaissent que l’exigence du GDPR relative au « droit à l’oubli » est pleinement justifiée et que tous les clients ont le droit de savoir que leurs données seront supprimées s’ils en font la demande et de connaître la manière dont une entreprise traite les données. Cela peut signifier que les employés devront s’habituer à avoir des pistes d’audit plus complètes si nécessaire, c’est-à-dire pour montrer qu’ils ont obtenu le consentement du client pour utiliser ses données, mais il s’agit d’un protocole solide et de la manière dont tout client souhaiterait être traité. Lorsque les choses tournent mal, par exemple, si l’on pense à l’affaire TalkTalk, il est difficile de se débarrasser d’une grave atteinte à la réputation. Ainsi, plutôt que de voir le GDPR uniquement sous l’angle des pressions, il existe également un message positif selon lequel des contrôles solides de la confidentialité des données équivalent à un meilleur service à la clientèle, et l’utilisation de ces contrôles se traduira par un avantage concurrentiel. Le GDPR est très court et très détaillé, et ceux qui le diffusent peuvent très bien travailler dans le domaine de la gestion des risques. De plus, ils devront également s’assurer qu’ils atteignent toutes les entreprises d’externalisation qui traitent des données pour une organisation. Des systèmes de sécurité solides sont indispensables et de plus en plus d’entreprises souscrivent une assurance responsabilité civile pour renforcer leurs défenses, mais cette assurance est loin de se substituer à des contrôles internes solides. En fin de compte, il est essentiel d’assurer une bonne gestion interne et de gérer le risque lié à l’élément humain.
Le GDPR sera bientôt à nos portes et bien qu’il ne signifie pas grand-chose pour beaucoup, il s’agit d’une nouvelle loi de grande envergure qui doit être prise au sérieux à tous les niveaux d’une entreprise. Liens utiles : Insurers face « large fines » for failing to comply with new EU data law (Insurance Business May 26th 2017) Preparing for the General Data Protection Regulation (GDPR) 12 steps to take now (Information Commissioner’s Office)
