Alphabet, la société mère de Google, a récemment été condamnée à une amende de 2,42 milliards d’euros par l’UE pour violation des règles antitrust. Que l’UE puisse infliger une amende à une entreprise américaine n’est pas nouveau, et cela se produit depuis plusieurs décennies à ce stade. L’UE a également infligé une amende au verrier japonais Asahi, entre autres, pour avoir fait partie d’un cartel du verre. Amendes aussi pour les géants américains Facebook et Microsoft. Que l’UE ait un pouvoir aussi large est simplement un fait d’une économie mondialisée. Cela rend également le prochain règlement général sur la protection des données, ou GDPR, encore plus vital, et pas seulement pour les citoyens de l’UE.
Le règlement UE 2016/679 a été adopté par l’UE le 27 avril 2016 et entrera en vigueur le 25 mai 2018. S’agissant d’un règlement opposé à une directive, il ne nécessitera pas de législation supplémentaire pour devenir exécutoire, ce qui en fait un force à ne pas sous-estimer à partir du printemps prochain. L’objectif de la loi est de fournir une meilleure protection des données à tous les citoyens de l’UE et de leur offrir de plus grandes possibilités de recours en cas de violation de la protection de leurs données.
Les ramifications du RGPD s’étendront au-delà de l’UE. L’article 44 du règlement sur la protection des données vise à protéger les clients des entreprises ou entités opérant dans des lieux qui, du point de vue du RGPD, ont des lois de protection des données inadéquates. Cependant, si la Commission européenne est d’avis qu’un pays dispose d’une réglementation suffisante en matière de protection des données, à ce jour, cela inclut l’Uruguay, l’Argentine et la Nouvelle-Zélande, pour n’en citer que quelques-uns, ces pays sont alors inscrits sur la liste blanche et ont effectivement les mêmes droits que les entreprises dans l’UE/EEE. Il est donc possible que des entreprises du monde entier fassent pression sur leur pays d’origine pour obtenir une législation reflétant le RGPD afin d’être ajoutées à la liste blanche.
Cependant, tout le monde n’attend pas avec impatience l’entrée en vigueur du RGPD en 2018. Dans le passé, de nombreuses grandes entreprises, telles que celles du FTSE 100, n’ont eu qu’un succès limité dans la mise en œuvre de nouvelles mesures de sécurité des données. En vertu du RGPD, les entreprises peuvent être condamnées à une amende pour non-respect de la réglementation. Certains ont suggéré que cela pourrait coûter au FTSE 100 environ 5 milliards de livres sterling par an.
Afin de contrer les défaillances potentielles dans la mise en œuvre de la sécurité, certaines entreprises demandent le consentement des clients pour conserver leurs données. Une fois que le RGPD entrera en vigueur l’année prochaine, les entreprises devront régulièrement obtenir le consentement explicite des clients pour stocker leurs informations. D’autres, en revanche, adoptent une approche à plus long terme, cherchant à apporter les mises à jour et autres modifications nécessaires à leurs dispositifs de protection des données avant le printemps 2018.
Ces modifications s’appliqueront non seulement aux entreprises de l’UE ou aux entreprises basées dans l’UE, mais également à celles qui fournissent leurs services aux clients de l’UE. Au lieu d’être de nature territoriale, comme le sont de nombreuses lois, le RGPD couvrira tout client qui utilise un service spécifique. Comme l’ont découvert des entreprises comme Asahi et Microsoft, l’UE prend très au sérieux sa portée territoriale. Il est donc fort probable que l’application du RGPD soit adoptée sous une forme ou une autre par d’autres pays à travers le monde, dans un souci de protection des clients en ligne. Bien que les experts en sécurité et les spécialistes de la protection des données soient confiants, ils préviennent que ce n’est pas le moment de devenir paresseux avec la sécurité en ligne.