Le 25 mai 2018 fut marqué d’une croix rouge dans de nombreux agendas. Cette journée a vu le Règlement général sur la protection des données (RGPD) officiellement devenir une loi. Pendant la semaine qui a précédé l’entrée en vigueur du RGPD et celle qui a suivi, on a fait de la place dans les emplois du temps et remis les calendriers à 0. Deux ans plus tard, comment le monde a-t-il fait face à l'apocalypse de la vie privée et que pouvons-nous attendre des deux prochaines années à venir ?
Pour décrire cette quinzaine du mieux que je peux, je dirai qu’elle s’est révélée "plutôt décevante". Ses effets se sont bien fait ressentir, je ne dis pas le contraire et j'en parlerai d’ailleurs plus en détail dans un instant. Mais contrairement à ce qui avait pu être annoncé, la révolution n’a pas eu lieu du jour au lendemain. Au lieu de cela, les choses ont continué comme si de rien n'était pendant un certain temps. Il a fallu attendre cinq mois pour que cet hôpital portugais soit condamné à payer une amende dérisoire de 400 000 euros. Et ce n’est qu’en janvier 2019 que l'autorité française chargée de la protection des données commencera à distribuer des sanctions. Les montants de ces amendes seront pourtant bien loin des sommes faramineuses annoncées qui faisaient les gros titres, et dont on menaçait les entreprises qui ne seraient pas en conformité. Les deux affaires qui ont le plus retenu l'attention du public sont, bien entendu, celles de British Airways (204 millions d’euros) et de Marriott International (111 millions d’euros), ce qui peut s’expliquer par leur renommée mondiale.
Les raisons principales des sanctions attribuées sont liées :
- au contrôle d'accès
- au consentement
- aux contrôles techniques et organisationnels appropriés
- au fondement juridique des activités de marketing
Soit dit en passant, ces raisons semblent correspondre aux plus grands domaines de dépenses/investissements essentiels pour répondre aux exigences de cette nouvelle législation. En effet, ces points sont ceux nécessitant les plus grands changements par rapport aux systèmes et approches existants.
Ces trois dernières années, les entreprises se sont efforcées de mettre à niveau leurs systèmes, de modifier leurs plateformes et d'intégrer de nouvelles solutions pour répondre à toutes ces exigences, ce qui a provoqué une croissance extraordinaire dans le secteur des fournisseurs et partenaires technologiques. Les réponses technologiques peuvent être très utiles si vous cherchez à pseudonymiser votre base de données ou à mettre en œuvre la gestion des accès et des identités des clients (CIAM) au sein de votre organisation, mais ce n'est qu'une partie du problème. N'oubliez pas : la solution miracle n’existe pas pour le RGPD. Les processus et les politiques jouent également un rôle majeur dans le respect de ce règlement.
Bien que le RGPD ait été qualifié d'évolutif plutôt que de révolutionnaire depuis la loi de 1998 sur la protection des données (mise en œuvre de la directive de 1995 au Royaume-Uni), de nombreuses entreprises se sont vues contraintes de mettre de l'ordre dans leurs affaires et, depuis 2018, de nombreux exemples de procédures ont été couchées sur papier. À ce propos, il va de soi que le RGPD s'applique autant aux documents papier qu'aux documents numériques. Détruire de manière sécurisée ne consiste plus à simplement jeter les documents à la poubelle. D’autre part, à une époque où le recyclage est très répandu, le simple fait de se débarrasser d'un document nécessite un processus, un tri et une prise de décision.
RGPD et Big Tech peuvent-ils coexister
Le public a sans doute remarqué que visiter un site web de nos jours s’apparente à voir sans cesse apparaître des bannières pour autoriser les cookies. La grande majorité d'entre eux sont illégaux (la loi sur les cookies exige que vous obteniez un consentement, mais vous ne pouvez pas refuser au visiteur un produit ou un service sur la base d'un non-consentement), mais ils contribuent à sensibiliser le public à la protection des données. Le RGPD a repris les droits des données des personnes et les a améliorés par rapport à la directive précédente mais, à ce jour, je ne vois aucune publicité ou publication à ce sujet en dehors de la communauté de la protection des données. On aurait pu s'attendre à trouver quelque chose dans les journaux ou sur un panneau d'affichage en ville, mais au lieu de cela, les gens doivent se fier à ce qu'ils lisent en ligne et, bien sûr, faire des recherches sur ces droits suppose que de d’abord être au courant des droits que vous avez.
Comme je l'ai dit au début, les effets du RGPD se sont fait ressentir au sein des organisations du monde entier. Je pense que les changements qui se sont produits, se produisent et se produiront dans les prochains mois sont bénéfiques autant pour l'organisation en question que pour le secteur dans lequel elle opère. J'ai souvent dit que la protection des données peut et doit être un facteur de différenciation sur le marché et je ne doute pas que cela sera de plus en plus le cas au cours des deux prochaines années. Pour gagner des opportunités commerciales, les pratiques et politiques de l’entreprise pèseront plus de poids que le prix. Bien sûr, priorité à la diligence raisonnable. Les entreprises auront alors la garantie que leurs investissements dans le RGPD sont sécurisés et inscrits dans le long terme.
RGPD : Guide à l’attention des fournisseurs de services cloud