L’entrée en application du RGPD en mai dernier sonne le glas de nombreuses pratiques. De nombreux pays s’inspirent de ce règlement européen. Pour le Gartner, ce mouvement oblige les entreprises à mettre en place des pratiques et des processus respectant la vie privée.

Qui aurait cru en 2016, lorsqu’il a été validé, que le Règlement général sur la protection des données (RGPD) serait repris par des pays en dehors de l’Union européenne (Argentine, Brésil, Inde…) et même des États comme la Californie (au 1er janvier 2020) ?

Ce texte a entraîné un mouvement général de maturation des lois sur la protection de la vie privée et des données, avec des exigences plus strictes. Le RGPD pourrait devenir un standard mondial.

« Les exigences du RGPD ont une incidence considérable sur la stratégie, le but et les méthodes de traitement des données personnelles d’une organisation. En outre, tout manquement à ces exigences a des implications financières, réglementaires et de réputation », précise Bart Willemsen, Senior Director Analyst chez Gartner.

Si la sécurité du SI et des informations sensibles doivent rester une priorité pour les DSI, la protection des données personnelles doit dorénavant s’intégrer à la gestion globale des risques. Tout le monde est concerné : DSI donc, mais aussi risk manager et RSSI. Sans oublier également tous les métiers (ou presque) puisqu’ils traitent tous, à un moment donné, de telles informations.

Menaces sur la sauvegarde et l’archivage des données

Différentes mesures, mais aussi de nouveaux process doivent dès maintenant être mis en place. Selon le Gartner, d’ici 2020, la sauvegarde et l’archivage des données personnelles représenteront le principal risque d’atteinte à la vie privée pour 70 % des organisations, contre 10 % en 2018.

Ce risque est d’autant plus grand que les entreprises disposent de volumes de données qui ne cessent d’augmenter. La cartographie des stockages et des sauvegardes relève du casse-tête dans certaines organisations. Qui y a accès en interne et chez le prestataire chargé de l’hébergement ? Le chiffrement des données est-il mis en place ? Et toutes les données stockées sont-elles toujours pertinentes ?

L’article 5 du RGPD stipule que les données personnelles doivent être : « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ». Les entreprises doivent donc se limiter à récolter les données qui sont « strictement nécessaires ».

Amendes

Or, le RGPD a introduit des pénalités et des amendes sévères en cas d’infraction, ce qui rend le risque de détenir des données personnelles non utilisées potentiellement très coûteux. Les amendes peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou jusqu’à 20 millions d’euros, le montant le plus élevé étant retenu en cas de non-conformité.

La confiance

Autre mise en garde du Gartner, d’ici 2022, 75 % des blockchain publiques ne seront pas conformes à cause des données privées. Le RGPD insiste en effet sur le fait que des personnes peuvent retirer leur consentement à tout moment… D’un autre côté, le cabinet d’analystes estime que d’ici 2023, plus d’un quart de la mise en œuvre de la preuve de consentement portera sur le blockchain. Ce pourcentage n’était que de 2 % l’an passé.

Finalement, le RGPD doit être l'occasion pour les entreprises de mettre en avant leur bonne gestion des données. Elle permettra par ailleurs de renforcer la confiance de leurs clients et des utilisateurs.

Source : Gartner.com