Le temps presse. Administrations et entreprises n'ont plus que quelques mois pour se préparer au nouveau règlement européen qui leur imposera notamment, dès le 25 mai 2018, de communiquer toutes les violations de la confidentialité des données personnelles qu'elles détiennent.
Adopté en avril 2016 après une longue maturation, le Règlement général pour la protection des données (RGPD, ou GDPR en anglais) repose sur le droit fondamental que constitue, pour toute personne se trouvant sur le territoire européen, la protection de sa vie privée et de ses données personnelles.
"En pratique, le droit européen s'appliquera donc chaque fois qu'un résident européen sera directement visé par un traitement de données, y compris par internet", précise la Commission nationale de l'informatique et des libertés (Cnil).
Sont concernés les entreprises, administrations, associations, partis politiques, et aussi les sous-traitants qu'ils soient dans l'Union européenne ou pas. Ils seront tenus de ne collecter que les données nécessaires. Ils ne pourront pas les garder plus longtemps que nécessaire, et devront s'assurer du consentement éclairé des intéressés, qui garderont un droit de regard.
Tous ces acteurs seront responsables de ces données, devront en envisager la protection dès la conception de leurs produits et services, et seront obligés de prévenir rapidement l'autorité compétente --en France, la Cnil-- en cas de perte, de vol ou de divulgation. Les personnes concernées devront aussi en être informées.
Concrètement, résume Laurent Heslault, directeur des stratégies de sécurité de Symantec, "une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l'objectif de leur collecte et leur mode de gestion, stockage, sécurisation, transfert et effacement".
Elle devra en outre "être en mesure de déceler si leur intégrité a été compromise et y remédier promptement, tout en consignant et notifiant l'événement". "Le GDRP s'applique aussi au format papier", indique-t-il à l'AFP. "Il vaut mieux ne pas trop imprimer les données à caractère personnel!" La notification des incidents est une petite révolution, car la plupart des entreprises françaises préfèrent actuellement garder secrètes les attaques dont elles sont victimes, pour mieux combattre les hackers, ou le plus souvent pour préserver leur réputation.
Pour l'heure, "on est en mode panique", constate Laurent Heslault, estimant qu'"il n'y a pas grand monde qui sera conforme le 25 mai 2018". Il faut dire qu'il y a du travail. Outre la désignation d'un délégué à la protection des données (DPO), il faut commencer à identifier où sont ces données, et mettre au point des stratégies de défense, de réponse aux incidents et de gestion d'éventuels contentieux. De quoi donner bien du travail aux consultants.
Les amendes pourront aller jusqu'à 4% du chiffre d'affaires mondial, ou 20 millions d'euros pour un parti ou une association. "Tout le monde se demande qui va être pris le premier dans le pot de confiture et combien il va prendre", s'amuse Jérôme Robert, responsable marketing d'EclecticIQ, une société néerlandaise spécialisée dans les cybermenaces. "J'attends avec impatience les premières amendes", dit-il. "Si les autorités donnent de petites amendes au lieu de taper fort, ça risque de briser l'élan".
Les avis étaient partagés cette semaine aux Assises de la sécurité et des systèmes d'informations à Monaco. Nombreux sont ceux qui pensent que la Cnil se montrera assez compréhensive au début. Quoi qu'il en soit, relève Fortunato Guarino, spécialiste de la protection des données chez Guidance Software (une société américaine d'investigations numériques), les victimes pourront aussi choisir de saisir la justice.
"N'importe quel citoyen français pourra poursuivre son dentiste, son médecin, un hôpital et pourquoi pas son plombier ou EDF pour non-conformité pour ses données personnelles", observe-t-il. "Et demander des réparations". Conclusion: "On va tous se rendre compte que pour être tranquille il faut minimiser les données personnelles qui sont collectées, et s'assurer du fondement juridique de leur traitement". Et c'est bien la finalité du RGPD.
Bienvenue sur RTL
Ne manquez rien de l'actualité en activant les notifications sur votre navigateur
Cliquez sur “Autoriser” pour poursuivre votre navigation en recevant des notifications. Vous recevrez ponctuellement sous forme de notifciation des actualités RTL. Pour vous désabonner, modifier vos préférences, rendez-vous à tout moment dans le centre de notification de votre équipement.
Bienvenue sur RTL
Rejoignez la communauté RTL, RTL2 et Fun Radio pour profiter du meilleur de la radio
Je crée mon compte
Commentaires
Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires.
Cette inscription sera valable sur le site RTL.fr.