Le Parlement Européen a validé l’harmonisation, telle que préconisée par la Commission Européenne, des règles de protection des données dans tous les Etats membres. Cette nouvelle règlementation sera appliquée à l’ensemble des organisations, et permettra de mieux protéger les données personnelles des quelques 500 millions de citoyens de l’UE. Les acteurs du public comme du privé sont concernés, d’autant plus que cette réforme ne laissera pas envisageable la non-conformité : les pénalités applicables pourront en effet aller jusqu’à 100 millions d’euros, ou 5% du chiffre d’affaires annuel (le montant le plus élevé sera retenu).
Les points clés de la réforme
- Le caractère d’unicité :
- Cette idée est simple à résumer : un continent, une loi. Les nouvelles dispositions règlementaires seront donc communes à l’ensemble des pays membres, et remplaceront la multitude des lois nationales sur la protection de données.
- Plus qu’une seule autorité avec qui traiter, plutôt qu’une autorité différente pour chaque pays
- Les entreprises non européennes devront se conformer à la nouvelle réforme, dans le cadre de leurs activités avec des entreprises de l’UE ou si elles gèrent des données de citoyens européens.
- Le droit à l’oubli : grâce à ce nouveau cadre législatif, les citoyens européens bénéficieront du droit à l’oubli (les entreprises seront obligées de supprimer les données personnelles, sauf en cas de raison légitime). L’accès aux données pour les citoyens sera facilité, afin qu’ils puissent les transférer aisément d’une entreprise à l’autre. Ce droit devrait assurer une meilleure réversibilité des données.
- Les citoyens européens seront plus informés : les entreprises seront tenues d’obtenir leur aval explicite avant de pouvoir manipuler et utiliser leurs données. Le consentement ne pourra donc plus être présupposé. A noter également, les entreprises devront informer les utilisateurs européens de toute fuite, détournement, perte ou piratage de données susceptibles de les affecter.
Les entreprises ne se préparent pas assez
Une étude réalisée par le cabinet Vanson Bourne sur la commande de Trend Micro révèle en effet que peu d’entreprises anticipent cette nouvelle règlementation. Elle a été menée auprès de 850 responsables informatiques au cours du mois d’avril dernier, répartis comme suit : 250 personnes au Royaume-Uni, 100 en France, et dans les autres pays ci-contre. Il ressort des résultats de cette enquête une méconnaissance de la nouvelle règlementation de la part des entreprises :
- 15% des entreprises répondantes ignorent devoir respecter une quelconque législation en matière de protection des données
- près de la moitié des répondants ne connaissent pas les pénalités et amendes qui peuvent leur être infligées
- et pour ceux qui connaissent leur existence, ils sont tout de même 38% à en ignorer le montant
- seulement 13% des entreprises interrogées estiment avoir une “très bonne” compréhension de la nouvelle réforme
Planifier l’impact de la nouvelle réforme, pour une conformité totale
Mettre aux normes son système actuel selon des dispositions règlementaires qui ne sont pas encore ratifiées peut paraître précipité. Pourtant, si la date de ratification n’est pas encore connue, les entreprises pourraient bien être tenues de s’y conformer dès le début de l’année prochaine. En outre, il semble peu probable, compte tenu des scandales de vol et d’espionnage des données, que l’Union Européenne fasse marche arrière. Evaluer son système actuel et planifier des actions correctives pourraient n’être que bénéfiques pour les entreprises européennes. Cela peut passer par des investissements dans la sécurité informatique de leur système, une formation plus importante des collaborateurs sur la protection des données, ou encore une assurance professionnelle plus fournie en cas de piratage.
A prendre aussi en considération : les entreprises traitant les données de plus de 5000 personnes seront tenues de nommer un délégué dédié à la sécurité des données.
Nos conseils en tant qu’experts
Il est primordial pour les entreprises qui manipulent des données personnelles de leurs clients de se tourner vers des prestataires de confiance. Si elles stockent ces informations dans le Cloud, nous leur conseillons vivement de vérifier si leur prestataire actuel les héberge en Union Européenne, voire en France, mais aussi de s’assurer qu’il soit lui même européen (ou français), comme c’est le cas avec NetExplorer. Dans un second temps, vous devez également établir un cahier des charges en matière de sécurité des données de vos clients (chiffrement des données, architecture en Cloud privé ; sauvegarde quotidienne ; tests d’intrusion ; politique de sécurité réseau, applicative et physique…). Enfin, le meilleur moyen de pouvoir se mettre en conformité reste tout simplement de s’informer sur ces nouvelles dispositions règlementaires.
La sécurité de vos données est le coeur de notre métier. Pour en savoir plus sur nos garanties, nous vous invitons à télécharger notre plaquette. Vous pouvez également nous contacter, pour plus d’informations.
