Le Jeudi, February 2017

Ne passons plus sous silence le respect de la vie privée !

  • Share

Dans la course à la compétitivité à laquelle se livrent les entreprises dans l’univers numérique actuel, ces dernières exploitent réseaux sociaux, mobiles, big data, analyses de données, entre autres, pour rassembler le plus d’informations possibles à propos de leurs clients. Dans cet environnement, la protection de la vie privée est souvent reléguée au second plan ou se greffe sur des programmes de sécurité généraux. Dans les pires scénarios, l’entreprise n’a encore mené aucune réflexion quant à la protection de la vie privée.

Pendant des années, les législateurs et les commissions de protection de la vie privée du monde entier ont tenté de légiférer autour de la protection de la vie privée et de développer des normes en la matière. Toutefois, de nombreuses organisations ne considèrent pas cet aspect comme une obligation, mais plutôt comme une initiative sur base du volontariat. Avec l’introduction par l’Union européenne (UE) du Règlement Général sur la Protection des Données (RGPD) et ses implications pour les organisations à l’échelle mondiale, les jours sont désormais comptés pour les entreprises confiant la responsabilité de la protection de la vie privée à des tiers.

Le RGPD sera applicable à toute organisation, indépendamment de sa localisation géographique, qui contrôle ou/et gère les données de résidents de l’UE.

Désormais, il signifie clairement plusieurs changements pour les entreprises et les expose à plusieurs défis:

  1. Un contrôle accru des données personnelles des résidents de l’UE : les entreprises auront l’obligation de fournir aux résidents de l’UE des informations claires et dénuées de toute ambiguïté sur le mode de traitement de leurs données, d’obtenir leur consentement explicite afin de les traiter, de leur permettre de transférer leurs données personnelles à des tiers, de leur permettre le droit à l’oubli.
  2. Harmonisation des règles : toute organisation qui commercialise ou vend des produits ou services à des résidents de l’UE sera assujettie au RGPD.
  3. Centralisation des autorités de surveillance : le reporting actuel à l’attention des autorités en charge de la protection des données dans chacun des 28 Etats membres est consolidé en un reporting à destination d’une seule autorité de surveillance.
  4. Besoin accru de Data Protection Officers (DPO) : les organisations traitant certains types ou volumes de données seront dans l’obligation de nommer un DPO qui sera le point de contact unique pour l’autorité de surveillance.
  5. Une approche fondée sur l’analyse des risques: les organisations devront adapter leurs programmes de protection de la vie privée selon les risques encourus les plus significatifs et conduire un Privacy Impact Assessment (PIA) pour évaluer les risques sur les données à caractère privé qu’elles collectent et traitent.
  6. Le principe de Privacy by Design est désormais inscrit dans le règlement : les organisations seront tenues d’élaborer des politiques, des procédures et des systèmes pour intégrer la protection des informations privées dès les premières phases de conception et développement d’un produit ou d’un processus.
  7. 72 heures pour signaler la perte de données privées: les organisations disposent de 72 heures maximum à compter du moment où elles découvrent une violation pour en notifier l’autorité.
  8. Condamnation à des amendes plus substantielles en cas de violation : les organisations contrevenant aux principes de base de traitement édictés par le RGPD s’exposeront à des amendes pouvant atteindre jusqu’à 4% du total des revenus mondiaux annuels de l’organisation.
  9. Sécurité liée au risque: les organisations seront tenues de mettre en place des mesures de sécurité pondérant les technologies les plus novatrices avec les coûts de mise en place et devant refléter la sévérité et la vraisemblance des risques posés aux droits et libertés de l’individu.
  10. Définition restrictive de « consentement » : le RGPD précise que le consentement doit être « donné librement, en connaissance de cause, être précis et ne pas être ambigu ».

Les pratiques de « laisser-faire » ou tout autre politique ad hoc de protection de la vie privée vont prendre fin pour les entreprises. Celles manquant à leurs obligations encourront, outre le risque de voir leur réputation ternie, de potentiels dommages financiers qui pourraient s’avérer être plus qu’onéreux et pourraient même les mener à leur perte.