Protection des données personnelles : qu’est-ce que la nouvelle réglementation va changer ?

Tribune d’expert : Dominique Pourchet – Associate Partner en charge de l’activité Cybersécurité, Gouvernance et Protection de l’Information pour Magellan Consulting.

 

Protection des données personnelles : qu’est-ce que la nouvelle réglementation va changer ?

 

Le 27 avril dernier, le Parlement Européen votait le projet GDPR (General Data Protection Regulation EU 2016/679), le nouveau texte législatif de référence sur la protection des données à caractère personnel pour l’ensemble des supports numériques. De facto imposé aux pays de l’Union Européenne, il concerne l’ensemble des données attenantes à un individu. Au-delà d’une logique de sanction, ce texte supranational incite les organisations et les entreprises à être davantage vigilantes concernant l’exploitation des données personnelles.

 

Protéger les données personnelles : un objectif d’envergure européenne.

Jusqu’à 4% du chiffre d’affaires annuel : voilà la pénalité que le non-respect du GDPR peut entraîner. Cette nouvelle réglementation s’adresse aux organismes publics et privés qui traitent, manipulent, gèrent ou stockent des données à caractère personnel. Elle a vocation à, d’une part, renforcer la législation en matière de protection des données et, d’autre part, harmoniser la législation au sein de l’Union Européenne. Il s’agit également, à l’heure où le numérique et la mobilité explosent, de protéger les individus contre la manipulation potentiellement malveillante de leurs données.

Cette obligation de conformité sera effective en mai 2018. Cela ne laisse donc plus que 18 mois aux entreprises pour évaluer leurs systèmes de traitement des données actuels et pour mettre en place une réponse à cette nouvelle norme. Néanmoins, si le GDPR peut être perçu comme une contrainte, il est plus pertinent de le prendre comme une incitation à se doter de moyens et de systèmes adéquats pour protéger les données à caractère personnel face aux menaces actuelles. Les pénalités mises en place par cette nouvelle réglementation sont destinées à responsabiliser les entreprises et à les inciter à prendre des mesures suffisantes pour assurer la sécurité de ces données.

Au regard du calendrier et notamment de l’échéance de mai 2018, la fenêtre d’action pour les entreprises n’est pas si large que cela : l’ensemble des chantiers à mettre en œuvre va nécessiter la mobilisation de différents acteurs au sein de l’entreprise : Direction Juridique et des Ressources Humaines, Directions Métiers, Sécurité des systèmes d’information, etc. qui vont devoir collaborer sur un certain nombre de chantiers transverses : analyse des impacts des nouvelles exigences sur l’organisation, sur la politique de Sécurité des systèmes d’information, sur les systèmes de pilotage et de contrôle à mettre en œuvre. L’échéance 2018 se prépare aujourd’hui.

 

Pour en savoir plus retrouvez ici l’intégralité de la Tribune publiée dans les Echos !