Le règlement général de l’UE sur la protection des données a été adopté il y a un an et a eu des répercussions financières et des changements dans la manière dont les entreprises traitent les données.

Le règlement général de l’UE sur la protection des données est entré en vigueur il y a un an ce mois-ci, ce qui a eu un impact sur les entreprises du monde entier qui touchent des informations provenant de cette région. Avec son entrée en vigueur, aucune entreprise légitime ne peut ignorer les exigences réglementaires pour obtenir, stocker ou utiliser des informations personnelles, a déclaré Raef Meeuwisse, auteur de Cybersécurité pour débutants et conférencier expert de l’ISACA.

« Il y a quelques années, il n’était pas rare qu’un audit de fournisseurs révèle que certaines entreprises de taille moyenne ne disposaient d’aucune politique de protection de la vie privée, d’aucune norme et d’aucune fonction professionnelle – ce n’est plus le cas », a déclaré M. Meeuwisse. « La hausse des réglementations en matière de protection de la vie privée et les amendes potentielles semblent avoir servi de signal d’alarme pour que les organisations traitent plus sérieusement leur devoir de protection des informations personnelles ».

En tant que tel, le GDPR a eu un « impact considérable » sur la façon dont les entreprises traitent les données, a déclaré Michael Podemski, directeur général des services de conseil à EY et membre du conseil d’administration de la section de Chicago de l’ISACA. La plupart des organisations sont maintenant tenues d’avoir un intérêt légitime à collecter et à utiliser des données – elles ne peuvent plus simplement les collecter parce qu’elles le peuvent, a déclaré M. Podemski. Les organisations doivent également supprimer les données après leur utilisation prévue, et ne peuvent plus conserver ces informations indéfiniment.

Toutefois, la majorité des organisations sont encore loin d’avoir atteint une protection complète et efficace de la vie privée dès la conception, a déclaré M. Meeuwisse. « Il faudra probablement encore de nombreuses années avant que les organisations disposent de systèmes et de processus pour lesquels la gestion des informations personnelles conformément à la réglementation est une chose pour laquelle leurs systèmes et processus ont été conçus à l’origine », a-t-il ajouté.

Davantage de travail à faire en matière de protection de la vie privée

GDPR « a fait passer la protection des données et de la vie privée d’une question de conformité, souvent ignorée, à une question importante qui est à l’ordre du jour de presque toutes les entreprises, grandes et petites », a déclaré Aoife Sexton, responsable de la protection de la vie privée pour Trūata. « De même, GDPR a sensibilisé les consommateurs à leurs droits concernant les données personnelles qui sont collectées et traitées à leur sujet ».

Toutefois, un an après, de nombreuses organisations se rendent compte que leurs programmes de préparation à la GDPR n’ont pas atteint un niveau de conformité significatif, et qu’il reste encore du travail à faire, a déclaré M. Sexton. Beaucoup d’organisations ont considéré que c’était une simple case à cocher, au lieu de changer complètement leurs pratiques.

« Pour être en mesure de montrer qu’elles ont adopté à la fois la lettre et l’esprit de la GDPR, les organisations doivent aller au-delà de ces couches superficielles de conformité et aller vers les couches plus profondes de conformité, en intégrant une bonne gouvernance des données dans tous leurs processus d’affaires et en faisant preuve de responsabilité », a déclaré M. Sexton.

« De nombreuses entreprises se sont préparées à la GDPR en actualisant les conditions générales de leurs sites web, en créant des inventaires de données et des politiques de conservation, et en mettant à jour les contrôles d’accès », a déclaré M. Sexton. Ce sont des étapes importantes, mais elles ne prennent pas en considération l’impact total de la GDPR sur leurs organisations, et sur les données plus profondes et les couches opérationnelles de leur organisation, a-t-elle ajouté.

Prenons par exemple l’utilisation secondaire des données personnelles comme les analyses. De nombreuses entreprises tentent encore de définir les processus et les mécanismes nécessaires pour garantir que cette utilisation secondaire des données est gérée de manière conforme, a déclaré Mme Sexton.

Répercussions financières et préoccupations des consommateurs

L’intérêt et l’investissement des entreprises dans la protection des données sont motivés par les risques financiers – pas seulement les amendes réglementaires, mais aussi les dommages potentiels à la marque, a déclaré M. Meeuwisse. Le Conseil européen de la protection des données a récemment indiqué que 206 326 cas d’infractions et de plaintes avaient été signalés jusqu’à présent, et que 56 millions d’euros (environ 63 millions de dollars) d’amendes avaient été infligées. Toutefois, comme de nombreuses autorités de contrôle sont encore en période de clémence, près de la moitié des affaires n’ont pas encore été clôturées.

« La question de savoir si les organisations continuent à prendre la protection des données plus au sérieux dépend principalement de la sévérité avec laquelle les autorités de contrôle sanctionnent les infractions majeures et de la façon dont nous, les gens ordinaires, décidons de voter avec nos pieds (ou non) pour abandonner les organisations qui échouent de façon répétée dans la façon dont elles se soucient de, sécuriser, utiliser ou perdre nos informations personnelles », a déclaré M. Meeuwisse.

Il n’est pas encore clair si GDPR a fait évoluer la confiance des consommateurs dans un contexte de violations de la sécurité aussi importantes, a déclaré M. Sexton.

« Il semble qu’il y ait toujours une grande confusion parmi les consommateurs sur la façon dont leurs données sont utilisées et avec qui elles sont partagées« , a déclaré M. Sexton. « Les entreprises doivent donc faire plus en matière de transparence et montrer davantage comment elles agissent de manière éthique et responsable en ce qui concerne les données de leurs clients. Il n’est pas réaliste de faire porter au consommateur la responsabilité de lire une multitude d’avis de confidentialité.