Données personnelles: une révolution en marche
Depuis quelques années, le nombre de données personnelles qui sont transmises, traitées et stockées augmente de manière exponentielle. Parallèlement, le nombre de vols de données ne fait que croître. La conjonction de ces 2 tendances n’est pas vraiment rassurante pour les citoyens, utilisateurs de services en ligne.
Une série de lois et de règlements nous protègent contre l’utilisation abusive de nos données personnelles et nous octroient des droits. Cependant, la directive européenne qui a guidé les législateurs nationaux a presque 20 ans d’âge. Une nouvelle directive est en gestation, afin de mettre en place un cadre normatif à la hauteur des enjeux actuels.
Les données personnelles au centre des débats
« Comment le futur règlement européen va impacter l’organisation des entreprises », tel était le sujet de la table ronde organisée le 27 janvier par l’APDL (Association pour la protection des données au Luxembourg), en collaboration avec la Commission nationale pour la protection des données (CNPD) et Luxembourg House of Cybersecurity NC3, CIRCL et Bee Secure étaient présents pour apporter leur éclairage respectivement Business, IT et grand public.
La nouvelle directive prévoit notamment des obligations plus étendues et des sanctions plus fortes pour les entreprises qui ne protégeraient pas suffisamment les données personnelles de leurs clients.
Données personnelles: 5è roue de la charrette…
Thierry Petitgenet (ancien CASES) a d’abord expliqué que les entreprises n’étaient pas toujours motivées à investir dans la protection des données de leurs clients à cause d’une vision purement comptable du risque, alors que l’impact d’un leak sur leur réputation et sur les intérêts de leurs clients peut être énorme. Pour faire bouger les choses, la peur du gendarme est peut-être un mal nécessaire. C’est pourquoi des amendes pouvant atteindre 100 millions d’euros ou 5% du chiffre d’affaire annuel mondial. En cas d’incident, la société atteinte aura un délai relativement court (72 heures) pour signaler le problème aux autorités.
La nouvelle directive veut également obliger les entreprises à réaliser une analyse des risques liés à la vie privée et à mettre en place une gouvernance spécifique pour cette problématique. Selon Alain Herrmann (CNPD), cela devra également passer par la formation des acteurs, car le problème est trop souvent traité d’un point de vue purement juridique ou bien uniquement technique. « Les informaticiens ont tendance à confondre protection des données et sécurité de l’information, ce qui n’est pas exactement la même chose », a souligné M. Herrmann.
Au final, cette nouvelle réglementation pourrait également représenter une opportunité à saisir, pour les entreprises qui auront la bonne idée d’en faire un argument marketing.
Ou bien nouvel argument commercial?
Le fait de faciliter l’exercice de leurs droits aux utilisateurs d’un service pourrait devenir un argument commercial, tout comme le « privacy by design ». Un service en ligne qui explique pourquoi il collecte des données, ce qu’il va en faire et ce qu’il a mis en place pour les protéger aura des chances de convaincre ses clients. La contrainte légale pourrait ainsi devenir une opportunité pour ceux qui sauront la saisir.
NC3 a rappelé son engagement aux côté des entreprises et des administrations qui désirent maîtriser les risques liés aux technologies de l’information. Grâce à la méthode MONARC, les entreprises peuvent réaliser une analyse des risques à un coût et avec des délais fortement réduits. Cette méthode peut également être utilisée pour réaliser une analyse des risques relatifs aux données personnelles (PIA – Privacy impact assessment). C’est le moment de faire appel aux experts CASES!