Il y a une certaine similitude entre la trilogie Le Seigneur des anneaux de J. R. R. Tolkien et le Règlement général sur la protection des données (RGPD) qui est entré en vigueur le 25 mai 2018. Aussi bizarre que cela puisse paraître, le règlement met en place des normes identiques à celles de l'Anneau Unique, en ce sens que le RGPD vise à régir le monde de la protection des données de la même manière que l'Anneau Unique a régi les autres.
Dans la réalité, cela pourrait être directement lié à l'unification des différents niveaux de la législation sur la protection des données dans chacun des pays de l'Union européenne (UE). Dans ce cas, l'Anneau unique est remplacé par l'ensemble unique de règles de protection des données dans toute l'UE. Ainsi, le règlement vise à protéger toute information relative à « une personne identifiée ou identifiable », y compris en matière d’exportation de données personnelles en dehors de l'Europe.
WeLiveSecurity s'est entretenu avec Tomáš Mičo, responsable de la protection des données d'ESET, afin de clarifier l'essentiel du règlement pour les entreprises. « En Slovaquie, où l'entreprise de cybersécurité ESET est basée, nous avons déjà eu, en vertu de la loi, la possibilité de nommer un délégué à la protection des données, de sorte que l'application du GDPR pour les entreprises à l'intérieur de pays ayant des exigences législatives similaires ne devrait pas avoir d'obstacles significatifs », explique-t-il.
Selon Mičo, les entreprises ont déjà investi beaucoup de temps et d'énergie dans la cartographie de tous les processus et la révision de tous les accords comme le recommandent les professionnels de la protection des données. Il poursuit : « De plus, comme le RGPD a un effet dit " en aval ", les entreprises doivent appliquer les mêmes principes à tous leurs accords, y compris ceux conclus avec des tiers transformateurs et sous-traitants. »
L'objectif principal du nouveau règlement est de réduire au minimum la collecte inutile de données personnelles, incluant des mesures qui empêchent le stockage de données qui n'ont pas besoin d'être stockées, et de sécuriser l'ensemble du voyage des données personnelles dans l'entreprise. Cependant, les plus grands défis pour les entreprises proviennent des exigences relatives à la protection de la vie privée dès la conception, à la protection de la vie privée par défaut, au droit à l'effacement, au droit à l’oubli et à l'avis d'atteinte à la vie privée.
Les sociétés de sécurité informatique du monde entier utilisent à juste titre cette opportunité, offrant des solutions pour atténuer les principaux risques liés à la réglementation - vente d’outils de chiffrement, authentification à deux facteurs et autres solutions pour fermer toute voie possible pour que les cybercriminels accèdent aux données personnelles qui doivent être protégées dans le cadre du RGPD.
Ce n'est pas tout. Bien que les entreprises déploient avec succès des solutions de cybersécurité pour s'assurer que les données personnelles sont correctement traitées et protégées au sein de votre entreprise, il y a d'autres responsabilités légales qui doivent être remplies. L'une d'entre elles est de fournir une explication facilement compréhensible du traitement des données, afin que les clients soient informés de manière transparente de leurs droits résultant de cette nouvelle réglementation.
Mičo précise : « Les entreprises doivent s'assurer qu'elles ont le consentement, le contrat ou toute autre base légale pour le traitement de toutes les données personnelles protégées par le règlement, pour tous leurs utilisateurs finaux. Pour une entreprise de taille moyenne, cela peut signifier passer un nombre incalculable d'heures à les contacter tous rétroactivement si leur base légale n'est pas valide - y compris les utilisateurs finaux que les entreprises ont obtenus par l'intermédiaire de tiers ou de sous-traitants. »
En outre, les particuliers ont également le droit de demander une liste détaillée de toutes leurs données personnelles en cours de traitement et de la demander à tout fournisseur qui travaille avec les données personnelles de clients situés dans l'UE, même si l'entreprise n'est pas physiquement située dans l'UE. C'est particulièrement difficile pour toutes les entreprises de commerce électronique et les entreprises qui travaillent avec des services en nuage. Et c'est la raison pour laquelle la majorité des bulletins des dernières semaines commencent par « Nous avons mis à jour notre politique de confidentialité ».
De plus, les entreprises doivent disposer à tout moment de l'information sur l'individu et la garder protégée - chiffrée - pour être en conformité avec le RGPD. « De cette façon, les données personnelles, même lorsque l'entreprise subit une violation ou est piratée, restent protégées », souligne Mičo.
L’exigence de notifier toute atteinte à la protection des données représente peut-être le plus lourd fardeau pour les entreprises. Cette clause oblige les entreprises à mettre en place des processus pour s'assurer que l'information sur l'atteinte à la protection des données parviendra à l'autorité de protection des données appropriée dans les 72 heures suivant sa découverte.
Il faut prendre le règlement au sérieux, ne serait-ce que parce que les pénalités pour non-conformité s’avéreront dures à avaler. Elles oscilleront en effet entre 2 % à 4 % du chiffre d'affaires annuel global de l'entreprise, ce qui est une dépense qu'aucune entreprise ne peut se permettre de prendre à la légère. Une enquête récente de l'IDC révèle cependant que pour les cas de non-conformité, « les régulateurs sont plus susceptibles de se concentrer sur les progrès vers l'objectif que de pénaliser ceux qui n'ont pas tout à fait fini de se conformer au RGPD. »
In time, we’ll see if the famous one rule to rule them all will find them all and and bind them as the legislators have predicted, or if everyone will meet in an unfulfilled GDPR Land of Mordor.
Avec le temps, nous verrons si la fameuse règle de les gouverner tous les trouvera tous et les liera comme les législateurs l'ont prédit, ou si tout le monde se rencontrera.
