Avis d'expert par Lam Son Nguyen expert en sécurité - McAfee

Ce que font les entreprises avec les données du grand public a toujours été un sujet sensible. Ce phénomène s’amplifie après chaque nouvelle médiatisation de piratage, d’attaque, de vol de données, etc. Dès cet instant, le grand public prend davantage conscience de ce qui peut arriver si ses données tombent entre les mains de personnes mal intentionnées. Les grandes nations à l’image des États-Unis et de l’Europe ont depuis de nombreuses années établies des lois destinées à la protection des données des individus. Alors que le numérique est amené à tenir une place prépondérante dans notre société, comment renforcer la considération de la sécurité ?

Les vingt dernières années ont connu beaucoup de changements, les évolutions technologiques ont progressivement placé la data comme un support au service du grand public. Conscients des travers de sécurité liés, l'Union Européenne a revu sa directive sur la protection des données personnelles et l’a remplacé par une loi plus robuste : le RGPD (Règlement Général sur la Protection des Données). Tâchons de comprendre ce qu’implique exactement ce nouveau Règlement Européen pour le grand public.

Qu'est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) révise la législation de l'UE existante. Elle prend désormais en compte la protection des données échangées dans l’e-commerce, la publicité en ligne et le marketing digital. De nombreuses dispositions de la loi antérieure ont été reformulées dans le RGPD. Parmi les différences majeures, l’échelle de valeur de la sanction financière encourue par les entreprises en cas de non-respect - allant jusqu'à 4 % de son chiffre d'affaires mondial ou 20 millions d'euros. Le nouveau Règlement les oblige également à notifier dans les 72 heures toutes infractions liées aux données auprès du régulateur national, l’ANSSI en France. L’information devra aussi être partagées avec le grand public. Chaque individu sera alors en droit de se demander pour quel type d’entreprise il travaille et ce qu’elle fait des données qu’elles agrègent.

Remplaçant la directive sur la protection des données personnelles, le RGPD est plus une évolution des règles existantes qu'une révolution. Il apporte cependant des changements importants et réduit le nombre de lois spécifiques autorisées en matière de protection des données personnelles pour chaque pays. Ces changements ont été introduits par la nature changeante de l’environnement numérique dans lequel nous vivons, ce monde de plus en plus connecté régi par le volume, la prévalence et la valeur des données personnelles.

RGPD

Qui cela affecte-t-il ?
Avec l'entrée en vigueur du Règlement au 25 mai 2018, il est important pour le grand public d’en comprendre les impacts spécifiques. La portée du terme ‘donnée personnelle’ est large. Elle englobe tout ce qui permet d’identifier un individu, allant des identifiants (adresse IP, mot de passe, etc.) aux identités sociales (nom, prénom et information de contact). Dans le cadre du RGPD, elle tend à mieux faire appliquer/respecter la protection des données personnelles en tant que droit fondamental de l'Homme.

Le Règlement protège les données de tout résident européen. Dans ce contexte, dès lors qu’une entreprise traite des données de clients européens, elle doit se conformer aux exigences du RGPD. Dans les faits, il impose de « mettre en œuvre des mesures techniques et organisationnelles appropriées » pour assurer la sécurité des données personnelles. Et exige que les entreprises examinent la manière dont elles collectent et stockent les données de tout individu, tiennent des registres de consentement d’exploitation desdites données et soient transparentes sur la manière dont elles utilisent les informations à caractère personnel.

Le grand public a son mot à dire ! Le RGPD permet aux résidents de l'Union Européenne de questionner les entreprises sur la façon dont leurs données ont été recueillies/collectées, de se désinscrire des fichiers marketing et, dans certains cas, de demander la suppression de leurs données.

Comment s'y préparer ?
Avec l'application à court terme du RGPD, la chose la plus importante que les entreprises et les citoyens de l'Union Européenne peuvent faire est d’en maîtriser les enjeux et de s’y préparer. Les entreprises sont contraintes de revoir leurs pratiques en matière de data management et de se conformer d’ici la fin mai 2018. Les individus ont avant tout besoin de connaître leurs droits et de savoir que le RGPD leur permettra d’interroger les entreprises sur le traitement qu’elles font de leurs données personnelles. Dans ce contexte, le grand public verra probablement apparaître plus de demandes de « consentement » liées à la collecte des données - et de notifications sur les violations de données. Mais comme toute nouvelle loi, le vrai sens du Règlement Général sur la Protection des Données peut prendre quelques années avant de véritablement s’imposer.