Un usage globalisé d'internet et la multiplication des données à caractère personnel ont poussé la commission européenne à adopter un nouveau règlement, entré en vigueur le 14 avril 2016. Le RGPD (Règlement général sur la protection des données) sera ainsi applicable à partir du 25 mai 2018. Qu'est-ce que cela signifie pour les entreprises luxembourgeoises ? Comment peuvent-elles s'y préparer ? Autant de questions auxquelles répond François Barret, Senior Manager, Data Privacy & Information Security Leader au sein d'EY Luxembourg.

"La directive européenne datait de 1995 et à cette époque internet n'était pas encore aussi présent dans nos vies. Elle ne répondait plus aux usages actuels, à la masse croissante de données collectées ainsi qu'à leur traitement" débute François Barret. L'évolution des outils technologiques, l'avènement des géants du web, et les habitudes des nouvelles générations – Y et Z – y sont pour beaucoup : "De plus en plus de données circulent, mais implicitement nous nous attendons à ce qu'elles soient protégées, enfin, du moins, qu'elles soient utilisées uniquement pour les raisons par lesquelles elles ont été collectées".

 

Un nouveau cadre règlementaire pour les sociétés et les résidents européens

Dès 2012, l'Europe décide de revoir ce framework, en souhaitant intégrer un règlement, plutôt qu'une directive. Une directive doit effectivement être transposée dans un pays via une loi locale laissant ainsi place à l'interprétation. "Le RGPD va offrir un cadre commun, facilitant de fait les échanges et relations entre les pays membres de l'UE" précise le spécialiste en cybersécurité, soulignant le fait qu'il s'agit d'un véritable changement de paradigme. "Avant, nous devions demander – dans certains cas - une autorisation aux SA – Supervising Authority, la CNPD au Grand-Duché de Luxembourg – avant de traiter des données à caractère personnel. Aujourd'hui, nous entrons dans un monde où nous essayons de responsabiliser les sociétés et tous les employés de l'entreprise : un vrai changement de culture" précise M. Barret. Cette règlementation renforce également la jurisprudence et notamment le droit de consulter ses données, de les mettre à jour, ou encore la  portabilité des données.

 

La donnée, pierre angulaire de la stratégie d'entreprise ?

On parle désormais de "« protection des données dès la conception », sur lequel le nouveau règlement insiste beaucoup. En effet, à chaque création de nouveau produit, lors du déploiement d'un nouveau système IT, les entreprises devront se poser les questions suivantes : quelles sont les données que nous allons collecter ? Qui va y accéder ? Ou allons-nous les stocker ? Et bien plus encore. La donnée, son utilisation et sa sécurisation sont alors au cœur de la stratégie de l'entreprise. Le mot clé ? Responsabilisation. Les autorités telles que la CNPD ne viendront, qu'a posteriori, auditer et voir si la société est en conformité avec le RGPD.

Au sein des entreprises, les spécialistes qui constateront une brèche auront 3 jours pour en notifier la CNPD, si le risque est élevé ; et si le risque est très élevé, les personnes concernées par ces attaques. François Barret y voit ainsi un risque de réputation pour les sociétés. Au Luxembourg, les institutions financières, mastodontes du commerce, ont avec l'utilisation des plateformes de paiement en ligne déjà la protection et sécurisation des données dans leur ADN. Les autres entreprises, et PME, vont quant à elle devoir investir proportionnellement aux risques. "Nous parlons de responsabilisation, mais au final, la règlementation se base sur la gestion du risque, d’où la définition d'un processus d’analyse d’impact relative à la protection des données" ajoute François Barret.

 

Emprunter le chemin de la conformité

Un gros challenge en termes de data management attend les entreprises. On pense notamment à la mise à jour de la gouvernance et de nouvelles procédures avec l'arrivée des délégué à la protection des données (DPO - Data Protection Officer), la réalisation d’analyses d’impact, les notifications à envoyer à la CNPD et aux utilisateurs concernés, et toute une partie contractuelle à revoir en profondeur, notamment dans la relation avec les sous-traitants. "Il faut commencer par faire un état des lieux afin d'établir une cartographie des données. Cela s'apparente à un changement de culture" nous rappelle François Barret, précisant que le RGPD va affecter toutes les couches de l'entreprise, de l'IT au département juridique, mais également à la communication, avec un coût interne non-négligeable : "un travail de formation, voire d'éducation, est nécessaire". Et en cas de non-respect, les conséquences peuvent être dévastatrices, avec des amendes administratives, pouvant aller de 20 millions d'euros à 4% du chiffre d'affaires mondial de l'année précédente.

 

François Barret animera ce jeudi 16 février la conférence intitulée "Quand la vie privée devient un sujet public » qui aura lieu dans les locaux d’EY Luxembourg. Suite à l'introduction du Règlement général sur la protection des données", François Barret reviendra sur les bonnes pratiques à mettre en place pour atteindre cette conformité avant la date du 25 mai 2018. Il y a fort à parier que ces règlementations continueront d'évoluer dans les mois et années à venir, complétées notamment par la mise à jour, voire la refonte totale de la directive e-Privacy datant de 2002.

 

Propos recueillis par Alexandre Keilmann