Après trois ans de négociations, le texte des nouvelles réformes des lois paneuropéennes sur la confidentialité des données a finalement été approuvé. Les nouvelles lois entreront en vigueur au début de 2018 et les entreprises devraient tirer parti de l’année prochaine pour mettre de l’ordre dans leurs maisons.
La principale charge pour les entreprises sera probablement administrative, car la nouvelle loi prévoit d’importantes exigences en matière de tenue de registres. Par exemple, les entreprises de plus de 250 employés ont besoin d’un inventaire des données, et de nombreuses autres situations de traitement de données nécessiteront le consentement « libre et éclairé » d’un individu avant que ses données puissent être traitées. Le maintien d’une piste d’audit de ce consentement pour démontrer la preuve de la conformité et des consentements est un autre défi pour l’entreprise à court de temps.
Pour les entreprises qui enfreignent les lois européennes sur la protection des données, les régulateurs ont le droit d’imposer des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial, bien au-delà des 2 % suggérés. Ces nouvelles amendes démontrent un changement significatif dans la conformité et pour la toute première fois, la « vie privée » est susceptible de devenir un point urgent à l’ordre du jour du Conseil.
La responsabilité de la protection des données incombera à l’entreprise ou à la personne physique qui les traite, y compris les tiers. Les conséquences en sont énormes car toute personne qui touche ou a accès aux données, où qu’elle se trouve, est responsable en cas de violation de données. Les responsables du traitement seront tenus d’informer et de rappeler aux utilisateurs leurs droits, ainsi que de documenter le fait qu’ils l’ont fait. Contrairement aux utilisateurs qui disposent d’options d’opt-out, ils devront désormais rejoindre les systèmes.
Voici un aperçu rapide des points clés du nouveau règlement :
- Droit de portabilité.
- Droit à l’oubli : nouveaux droits de rétractation.
- Confidentialité dès la conception.
- Toutes les organisations doivent avoir un délégué à la protection des données si elles ont une base de données clients à grande échelle ou si elles traitent des données sensibles à grande échelle.
- Évaluations de l’impact sur la vie privée avec une exception limitée pour les PME, sauf si elles sont considérées comme à haut risque.
- Signaler les failles de sécurité au Garant sans retard excessif et dans un délai maximum de 72 heures.
Garder vos données sécurisées et privées sera d’une importance primordiale, à la fois lorsqu’elles sont stockées et lorsqu’elles sont communiquées par voie électronique. Les e-mails devront être cryptés car la réglementation permet aux utilisateurs de réclamer des dommages-intérêts en cas de perte de données ou de traitement illicite, ce qui pourrait en fait s’avérer coûteux pour les entreprises, tant en termes financiers qu’en termes d’atteinte à la réputation.
Une violation de données personnelles est considérée comme toute violation de la sécurité qui entraîne la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illégal à des données personnelles. La définition des données personnelles inclut « toute information relative à une personne concernée » et a donc des implications pour toute entreprise agissant au nom de clients qui a des raisons d’envoyer par e-mail des informations client susceptibles de tomber entre de mauvaises mains. La perte ou la modification non autorisée d’une adresse e-mail ou d’un numéro de téléphone constituerait une violation de données personnelles.
Les premières étapes pour se préparer au prochain règlement sur les données comprennent :
- Protégez-vous des atteintes à la sécurité des données grâce à des procédures strictes qui garantissent que les e-mails ne peuvent pas être envoyés au mauvais destinataire.
- Utilisez des e-mails cryptés pour la communication des données personnelles : un portail de documents offre les niveaux de sécurité les plus élevés.
- Mettez en place des politiques claires pour une réponse rapide à toute violation de données et notifiez à temps si nécessaire.
- Assurez-vous que les procédures répondent aux nouvelles normes réglementaires pour démontrer la conformité.
- Vérifiez que vous avez des raisons légitimes pour la conservation des données personnelles.
- Lors du transfert international de données, il sera important de s’assurer qu’il existe une base légitime pour le transfert de données personnelles vers des juridictions qui ne sont pas reconnues comme ayant une réglementation adéquate en matière de protection des données.
Le commissaire britannique à l’information a déjà suggéré que certaines grandes organisations pourraient avoir besoin d’allouer jusqu’à 5 millions de livres sterling pour les réformes initiales de conformité, car « les étapes symboliques pour se conformer ne suffiront pas ». Avec le risque de sanctions aussi élevées en cas de non-conformité, les entreprises ne peuvent se permettre de prendre le risque de partir trop tard pour effectuer des changements aussi essentiels. Ils devront adopter des comportements entièrement nouveaux dans la manière dont ils collectent et utilisent les informations personnelles, et la planification doit commencer dès maintenant.
Les processus et les procédures devront être revus pour s’assurer que les entreprises ne sont pas vulnérables et que des systèmes sont mis en place pour garantir que toutes les données restent confidentielles. La confidentialité est le mot clé ici et les entreprises devraient préparer et allouer des fonds pour une nouvelle ère de protection des données plus rigoureuse et plus complexe en Europe avec des exigences et des dispositions plus strictes.