Des propositions en faveur d’une législation européenne plus rigoureuse en matière de protection des données obligeront les entreprises européennes à renforcer leurs pratiques de gestion des informations, en préambule de la European Privacy and Data Protection Day (EPDP). Cette journée, qui se tiendra cette année le 28 janvier, a pour objectif d’attirer l’attention sur les problèmes liés à la protection des données et de recommander de bonnes pratiques aux organismes qui traitent chaque jour des données personnelles.
Cette nouvelle législation remplacera la directive Européenne de Protection des Données 95/46, une composante majeure de la Loi européenne sur la Vie Privée et les Droits de l’Homme, qui sert de référence aux entreprises depuis treize ans. Il est prévu que la nouvelle législation réduira, pour de nombreuses sociétés, les exigences administratives de conformité. Néanmoins, elle imposera vraisemblablement aux entreprises de plus lourdes contraintes en matière de protection, reconnaissance et communication de leurs violations de données. De surcroît, la règlementation infligera des pénalités plus sévères aux sociétés qui failliront aux exigences légales.
La règlementation proposée est une excellente nouvelle, à de nombreux titres, pour les usagers, l’absence d’une politique de gestion des informations solide et en conformité légale étant inexcusable. Cette règlementation devrait pousser les entreprises à sérieusement étudier leur système de gestion des informations et leur politique de sécurité existantes.
De nombreuses entreprises de toute taille sont très en-deçà de ce qui est requis pour gérer de façon responsable leurs informations. De nos jours, dans notre environnement professionnel de plus en plus surveillé, l’absence d’une politique de gestion des informations solide et en conformité légale est inexcusable. Sans tenir compte du chiffre d’affaires, du secteur ou du pays, s’assurer que les informations concernant les salariés et les clients sont protégées devrait être une pratique courante, et non une réaction à une nouvelle législation. Les entreprises qui ne savent pas par où commencer devraient étudier les recommandations ISO 27002.
Le projet de la proposition européenne, révélée à la fin de l’an dernier, souligne trois exigences principales qui devraient, si elles sont intégrées dans la réglementation finale, avoir un impact à long terme sur la vie de nombreuses entreprises européennes. Ce projet controversé suscite de nombreuses discussions au sein de la Communauté Européenne. Les principales exigences du projet révélé l’an dernier sont :
L’obligation de déclarer les violations de données. Elle recommande que les Autorités de Protection des Données concernées et toutes les personnes touchées devront être prévenues sous 24 heures d’une violation de sécurité des données, y compris s’il s’agit d’une destruction non autorisée ou d’une perte de données. Les autorités de protection des données doivent être averties, même en l’absence de risque pour les données. La grande question est de savoir si la communauté professionnelle sera d’accord ou capable de s’auto-policer. Si ce n’est pas le cas, les entreprises pourraient se voir confrontées à des inspections régulières des administrations légales compétentes. La définition de la violation devra également être clarifiée. Va-t-elle dépendre par exemple, du nombre d’enregistrements ou de documents affectés, ou du type d’informations piratées ? Les entreprises devraient se préparer aux deux cas de figures.
L’obligation de nommer des responsables de la sûreté des informations. Les responsables de la sûreté des données devront être obligatoires pour toutes les instances publiques et toutes les entreprises de plus de 250 salariés. Cela va générer des coûts qui n’ont pas été prévus. Cela veut dire que les entreprises auraient tout intérêt à préempter la législation en intégrant ces coûts. Nommer un responsable de la sûreté des données est d’ores et déjà obligatoire en Allemagne. De nombreuses entreprises bénéficient de la possibilité de confier cette responsabilité supplémentaire à un salarié disposant de la qualification requise. Disposer d’une personne spécifique pour s’occuper de la protection des données est, de toute façon, une bonne pratique professionnelle. Les entreprises ne devraient pas attendre la législation officielle pour l’appliquer.
Des amendes fortement augmentées. Aux termes de la proposition de loi, les autorités compétentes auraient le pouvoir d’infliger des amendes allant jusqu’à un million d’euro ou, dans le cas d’une société, jusqu’à 5 % du chiffre d’affaires mondial annuel dans le cas de manquement à la législation. Ce qui est une somme énorme et potentiellement dévastatrice pour la plupart des entreprises. Que l’Europe soit prête à autoriser un tel niveau d’amende, montre bien à quel point la protection des données est prise au sérieux. Les sociétés ne doivent pas s’affoler, juste se préparer. Disposer de plans pour stocker et accéder à leurs données, former leurs salariés sont de vrais premiers pas. C’est aller dans le bon sens et, peut-être bientôt, dans le sens de la loi.
Christian Toon, Directeur de la Sûreté des Informations chez Iron Mountain
Commenter cet article