Jusqu'à récemment, la question de la protection des données et de la vie privée était un sujet réservé à un petit groupe de personnes au sein d’une entreprise. En effet, à moins d’être consultant IT ou juriste d’entreprise, personne n'avait à se préoccuper du respect de la vie privée. Alors, comment en sommes-nous arrivés au point où de nombreuses entreprises sont tenues par la loi d'employer un délégué à la protection des données (DPD) ? Pourquoi les dirigeants d’entreprises portent un intérêt grandissant aux politiques de protection des données et à la vie privée de leur entreprise ? Dater le début de la prise en considération de la vie privée à 2018 est une erreur commune, mais la réalité est tout autre.
D’un point de vue anthropologique, l’humain aspire à la préservation de sa vie privée depuis plus de 3000 ans comme en témoigne la présence de murs internes dans les habitations dès 1500 av. JC. Le concept de « droit à la vie privée » tel que nous le définissons aujourd’hui est cependant plus récent : il a été reconnu comme droit universel en 1948, et la Suède est le premier pays à promulguer une loi sur la protection des données en 1973. Cependant, aussi tangible qu’il soit, ce premier effort de régulation n’était qu’une réaction à l’inquiétude de la population à l’utilisation croissante d’ordinateurs pour stocker et traiter des informations personnelles.
Si notre approche actuelle de la protection des données s'inscrit dans ce contexte, il est indéniable que l’année 2018 aura marqué une évolution majeure avec la mise en place du règlement général sur la protection des données (RGPD). En effet, en moins de deux années, l’impact de cette régulation s'est révélé majeur. Il a créé un cadre réglementaire contraignant dans lequel les régulateurs de RGPD n’ont pas hésité à faire preuve de fermeté. À ce jour, le montant des amendes s’élève à près de 429 millions d'euros d'amende, rappelant ainsi à toute entreprise traitant les données de citoyens européens qu'il existe désormais des sanctions en cas de non-respect des exigences en matière de protection des données.
En France, si la Commission nationale de l'informatique et des libertés (CNIL) s’est montrée dans un premier temps assez souple en accordant un délai de mise en conformité, il est stipulé qu'à partir de l’été 2020 les sites utilisant des cookies devront impérativement obtenir le consentement explicite des utilisateurs en ligne. La fin de cette période de relative indulgence devrait s’accompagner d’un durcissement des sanctions. En janvier 2020, le montant total cumulé des amendes distribuées par les instances de régulations européennes atteignait 114 millions d’euros tandis que le nombre de plaintes a augmenté de 12% en 2019.
Développer les compétences en matière de protection de la vie privée
Outre la mise en place d’un cadre clair favorisant le respect des bonnes pratiques en matière de manipulation de données, le RGPD a permis de replacer l’humain au cœur du processus. Ainsi, plutôt que de parler en termes de normes techniques et d'exigences logicielles, il se fonde sur les droits fondamentaux des citoyens et sur la manière dont les collaborateurs au sein des entreprises peuvent les faire respecter. A ce titre, un des articles les plus emblématiques du RGPD, l‘Article 37, stipule que certaines entreprises ont l’obligation légale de désigner un Data Protection Officier (DPO), c’est-à-dire un responsable de la protection des données dans l’entreprise. Cette exigence concerne plus spécifiquement toute autorité publique ou entreprise dont les activités principales nécessitent le suivi ou le traitement à grande échelle de données personnelles ou criminelles.
Même dans le cas où la désignation d’un DPO n’est pas imposée par le RGPD, il est fortement conseillé aux entreprises de s’appuyer sur ces profils précieux pour les accompagner dans la mise en conformité de leurs processus de traitement des données. En 2018, lorsque le RGPD est entré en vigueur, ce ne sont pas moins de 75 000 postes de DPOs qui se sont créés, dont près de 28 000 en Europe et aux États-Unis.
C’est précisément pendant cette période de transition que les organisations doivent encourager une culture de la transparence dans l'utilisation des données. Si tous les collaborateurs ne sont pas appelés à devenir des experts en matière de protection des données, tous doivent être au fait des principes de base et comprendre les enjeux en cours. En outre, si la responsabilité de la conformité au RGPD incombe au DPDO, le PDG reste le principal responsable en dernier ressort. La protection des données est un sujet de conversation aussi bien commercial que technologique. Il n’en reste pas moins que les entreprises doivent avoir une stratégie IT en place qui garantit des bonnes pratiques de gestion des données.
L’état d’esprit prime sur le matériel
Désormais les trois-quarts des décisionnaires IT voient la gestion de données comme un moyen de créer davantage de valeur ajoutée. Ainsi dans une entreprise qui s’approvisionne et gère ses données dans le cloud, des sujets comme la sauvegarde, la réplication et la restauration font partie d’un même processus. Ce fonctionnement lui garantit une donnée toujours disponible, facilement récupérable et sécurisée à tout moment. Mais comme la confidentialité des données, l’IT a également une dimension humaine. Dans un contexte où les entreprises ont plus que jamais besoin de protéger leurs données, les PDG, les DSI et les DPO recherchent des partenaires de confiance pour les aider à réduire les risques liés à la gestion de leurs données. Cette aide peut prendre diverses formes telles que la configuration des systèmes de gestion des données, une formation technique pour les administrateurs ou une simple sensibilisation à la protection des données pour les utilisateurs finaux.
Il reste désormais moins de six mois aux entreprises pour réfléchir à la manière dont elles utilisent et consultent la donnée. Au commencement d’une nouvelle décennie, le moment est particulièrement bien choisi pour se poser les bonnes questions. L'impact du RGPD va s’ancrer durablement, à mesure que les entreprises s'adapteront à ses exigences et que l’indulgence des régulateurs ira en s’amenuisant. Le risque d’augmentation du nombre d’amendes et les préjudices portés à la réputation accélèrent le besoin en DPO. Et si investir dans des solutions de gestion de données dans le cloud est l’une des réponses possibles, il n’en reste pas moins que la protection de la vie privée concerne l’ensemble des collaborateurs. Par conséquent, des investissements avisés peuvent aussi passer par des partenaires de confiance pour aiguiller les collaborateurs à tous les niveaux dans les rigueurs de la conformité et mettre ainsi en place une véritable culture de la transparence des données.
Par Thierry Lottin, Country Manager France chez Veeam