La protection des informations personnelles est un enjeu international qui ne prend son ampleur que tardivement. En effet, depuis le traitement des grosses données dans les années 90 appuyé par l’essor d’Internet, celles-ci sont devenues l’essence de l’activité de bon nombre d’entreprises. Pourtant, à l’heure où le « Big Data » suscite une nouvelle donne à cause de la démocratisation des techniques de traitement des données, il est nécessaire de renouveler la législation européenne y afférente. Ainsi, un nouveau Règlement (RGPD) entrera en vigueur le 25 mai 2018. Mais, sera-t-il à la hauteur ? Zoom sur le sujet.
Une approche réorientée
Les formalités préalables, à savoir les déclarations ou autorisations auprès de la CNIL qui étaient nécessaires avant les traitements, dissimulaient jusqu’à aujourd’hui le besoin de garantir la parfaite conformité des procédures à la loi. Les entreprises étaient uniquement focalisées dessus.
Avec ce nouveau règlement, elles sont enterrées, mises à part quelques exceptions. En effet, le RGPD a pour objectif de responsabiliser les entreprises. Ces dernières doivent disposer d’un registre des traitements, déterminer en amont les répercussions de leurs activités sur les données personnelles et en dégager une conclusion menant à une nouvelle action.
À part cela, elles doivent concevoir un modèle de protection de celles-ci dès l’étape de création des produits et services (privacy by design), paramétrer ces derniers (privacy by default) et limiter la collecte de données au seuil de leurs besoins uniquement (minimisation des données). En d’autres termes, ce RGPD permet aux entreprises de reconsidérer la protection des données au même titre que les dispositions obligatoires dans les lois sociales, fiscales, etc.
Une attitude plus sévère
Les sanctions sont au cœur des moyens de persuasion du RGPD. L’année prochaine, les CNIL européennes imposeront des pénalités allant de dizaines de millions à plusieurs milliards d’euros (un pourcentage sur le chiffre d’affaires annuel mondial des personnes morales).
L’objectif est d’obliger les entreprises à prioriser la protection des données personnelles. Le déblocage de budgets pour la mise en place d’un poste essentiel est aussi l’une des finalités. Il ne s’agit ni plus ni moins de la sécurité des systèmes d’information. En effet, l’attaque récente dénommée WannaCry a démontré que celle-ci n’était que le « prélude » d’actes de piratage d’envergure médiatique énorme. Mis à part ces derniers, il ne faut pas oublier les brèches, les négligences et faiblesses des systèmes existants.
En ce sens, le RGPD pose donc les bases d’une culture de la sécurité informatique européenne encore plus solides.
Quelques nuances à ne pas négliger
Le RGPD n’apporte pas de grands changements à l’instar du « droit à l’oubli » qui n’est autre que l’un des droits des particuliers permettant la suppression des données traitées non conforme au Règlement.
Par ailleurs, ces droits ont aussi pour but de leur fournir des informations qui leur soient utiles pour agir en conséquence. Or, ce nouveau Règlement pourrait les complexifier puisque le texte rajoute d’autres mentions d’information obligatoires qui induisent l’incompréhension et risquent de mal informer les personnes.
Parallèlement, les individus virtualisent encore le monde numérique et ne se soucient guère des données personnelles qu’ils divulguent et répandent partout sur la toile. Dans ce cas, forcer les entreprises à ne considérer que les « data » nécessaires est une action inutile. Un juste milieu doit donc être trouvé et le RGPD n’y arrivera pas seul, car l’enjeu est bien plus large, et touche la société et l’éducation.