Overblog Suivre ce blog
Editer la page Administration Créer mon blog
Informatique et télecoms

Les entreprises n’anticipent pas la réforme de la protection des données personnelles

Rédigé par Informatelecom Publié dans #données personnelles

La réforme du cadre législatif de la protection des données touchera de plein fouet les entreprises engagées dans l’économie numérique. De l’encadrement du transfert des données aux droit à l’oubli, la décision communautaire pourrait avoir de lourdes conséquences sur les investissements informatiques des entreprises. Par Elizabeth Maxwell, directeur technique EMEA chez Compuware.

La collecte et la vente des données personnelles sont entrées dans les habitudes des entreprises mais certainement aussi des consommateurs. Si chacun d’entre eux se dit conscients de son empreinte électronique croissante, beaucoup seraient malgré tout surpris d’en réaliser toute la teneur : lieux de villégiature, habitudes de consommation, boissons et restaurants préférés, etc. Très enclins à exiger des publicités plus conformes à leurs attentes, ils ne prennent qu’assez peu la mesure du risque en partageant leurs informations personnelles.

Parce que nos données sont devenues une véritable monnaie d’échange, dans un contexte où l’usage veut que nous autorisions implicitement et parfois aveuglément leur exploitation, l’Union Européenne a choisi de durcir la protection des consommateurs . Devenu un marché international, la négociation des données personnelles se fait dans un monde hautement connecté. Jusqu’ici le partage de responsabilité en cas de violation de la loi restait éminemment nébuleux.

Les lois sur la protection des données sont « obscures » pour les entreprises concernées

Il appartient encore au Conseil Européen de se prononcer sur les textes finaux (un règlement d’application immédiate et une directive qui devra encore être transposée dans les législations nationales de chaque pays), mais la réforme du cadre législatif de la protection des données personnelles est déjà bien engagée. Sur ce sujet, les eurodéputés ont poussé pour plus de sévérité. En résumé, les entreprises seront tenues de garantir aux internautes un droit à l’oubli des données qu’ils leur ont confié et de mieux informer les internautes de l’utilisation qui en est fait, y compris après un incident informatique ( attaques cybercriminelles ,…). En cas de transfert à l’étranger des données, les entreprises devront obtenir une autorisation d’une autorité nationale de protection des données, par exemple la Cnil en France.

En l’état, les textes prévoient un délai de deux ans laissé aux entreprises pour se mettre en conformité. Cependant, il n’est pas certain que ce laps de temps soit suffisant, notamment au regard d’une enquête réalisée en 2013 par le Cabinet Vanson Bourne, pour Compuware, et portant sur les mesures mises en œuvre par les entreprises pour la protection des données de leurs clients. Réalisée en France, en Espagne, au Benelux, en Italie, au Royaume-Uni, au Japon, en Australie et aux Etats-Unis, l’enquête montre que 43% des entreprises partageant des données clients considèrent comme « obscurs » les lois et règlements sur la protection des données personnelles en vigueur. En outre, 20% des entreprises ne masquent ni ne protègent les données confidentielles durant les phases de test.

Une nécessaire anticipation avant 2017 et l’entrée en vigueur d’un probable nouveau cadre européen

En outre, 87% des entreprises transmettant des données à un tiers, encadrent la transaction uniquement au travers d’accords de non-divulgation, dont la validité et l’application territoriale pose nécessairement question. Enfin, les entreprises dans leur grande majorité, se sont montrées incapables de chiffrer avec précision le montant de leurs dépenses en faveur de la protection des données et encore moins le coût total engendré par le très prochain corpus législatif européen.

Les entreprises doivent anticiper le coût de l’adaptation de leur système d’information aux textes européens. Si la tentation d’échapper à cette mise en conformité est grande, les amendes encourues le sont tout autant. La directive fixe des amendes pouvant aller jusqu’à 100 millions d’euros ou 5% du chiffre d’affaires annuel mondial de l’entreprise.

Inutile d’attendre avant de concevoir un plan de mise en conformité. Cela permettra de minimiser à la fois les coûts initiaux mais également d’être en mesure de pouvoir prouver et maintenir la mise en conformité du SI, des pratiques et des applications.

Les 5 étapes pour être conforme au cadre européen de protection des données


Comprendre les implications de la législation. L’erreur à ne pas commettre est de minimiser l’impact et le coût. Il faudra s’attendre, au contraire, à d’importantes dépenses, compte tenu des pratiques généralisées de développement et de test qui s’appuyaient jusque-là sur des données non anonymisées.
Auditer et localiser les données sensibles. La deuxième étape consiste à réaliser un audit global de localisation des données personnelles et sensibles. Qui a accès à quoi, où et comment ces données sont-elles recoupées ? Quels sont les points d’achoppement, où sont les risques de violation ? Le temps nécessaire à cette analyse ne doit pas être sous-estimé.
Adapter ses processus aux nouvelles contraintes. Une fois la localisation et l’identification des données et des risques associés réalisées, il devient plus aisé d’anonymiser les données.
Développer une solution conforme aux exigences. En fonction des résultats de l’audit, du niveau préalable de conformité, du business model choisi ou encore de la démarche retenue par l’entreprise, la solution globale définie pourra porter par exemple sur une révision des droits d’accès aux données, sur le choix d’une nouvelle solution de MDM, sur la refonte des clauses contractuelles relatives aux transferts ou (et très certainement) une combinaison de ces différents sujets.
Donner de l’air à la DSI. L’ensemble de ces étapes représente un processus long et fastidieux, dont la réussite repose sur une parfaite maîtrise du cadre législatif. Le délai de deux ans laissé aux entreprises n’est pas de trop au regard des très nombreux paramètres à prendre en compte.

Partager cette page

Repost 0