Les gagnants et les perdants du règlement général sur la protection des données de l'Union européenne

Les gagnants et les perdants du règlement général sur la protection des données de l'Union européenne

The winners and losers of the EU’s General Data Protection Regulation

Le règlement général sur la protection des données (RGPD) de l'Union européenne entrera en vigueur le 25 mai 2018, ce qui pourrait s'avérer positif pour les chefs de la sécurité informatique, ainsi que pour les entités qui ont déjà adopté le RGPD. En outre, cela devrait réveiller les PME et les retardataires du secteur.

La première fois que le règlement général sur la protection des données a été voté, il a fait l'objet de réactions contrastées dans le secteur. A-t-il défini un nouveau cadre pour les entreprises, un cadre qui les aide à suivre les évolutions en matière de gestion des données et à adopter les nouveaux modes opérationnels, tout en apaisant les préoccupations de leurs clients ? Ou au contraire, a-t-il créé des préoccupations supplémentaires pour les entreprises, en les obligeant à ajouter une couche de bureaucratie et en augmentant leurs coûts ?

Selon Tim Grieveson, chef stratégiste en matière de cybersécurité EMEA chez Micro Focus, les entreprises ne doivent pas considérer le RGPD comme une « chose énorme et terrifiante », mais comme une opportunité de transformation et d'amélioration.

« Tout le monde va en tirer profit », assure-t-il. « Les entreprises doivent saisir l'occasion pour comprendre les données qu'elles détiennent et les avantages qu'elles peuvent en tirer », poursuit-il, suggérant (comme beaucoup d'autres) que le RGPD peut être une opportunité commerciale.

Judith Vieberink, avocate au cabinet First Lawyers (Pays-Bas), confirme ce point de vue.

« Les gagnants seront les entreprises qui considèrent le règlement comme une opportunité et souscrivent à l'évolution que cela implique. Celles qui savent quels processus sont concernés et qui connaissent les droits dont disposent leurs différents clients. »

Tim Grieveson cite un exemple concret d'approche qui pourrait être adoptée. « Cela signifie, par exemple, que les données pourront être classées en fonction de leur niveau de sécurité. » Il signale que, par le passé, les entreprises ont souvent adopté une approche « taille unique » de la sécurité. Or, en soumettant les données à un audit détaillé, elles peuvent établir des priorités et chiffrer leurs données les plus sensibles.

Judith Vieberink reconnaît qu'il est temps que les entreprises se posent des questions précises sur leurs données et sur les mesures de sécurité qu'elles mettent en œuvre.  « Est-ce que je dois utiliser le chiffrement ? Pourquoi en ai-je besoin ? Dois-je appliquer des mesures encore plus rigoureuses ? »

Outre la technologie, la formation d'entreprise est concernée. « Tout le personnel doit connaître les conséquences possibles », ajoute-t-elle.

Le service informatique devrait être un grand gagnant. D'après Tim Grieveson, les changements engendrés par le RGPD lui permettront de créer une réelle valeur ajoutée, dans la mesure où il communique bien avec les autres services de l'entreprise.

Il observe que, jusqu'à aujourd'hui, les services informatiques ont eu du mal à avoir une vision globale. Or, le RGPD aura un impact sur l'ensemble de l'entreprise et les services informatiques seront au cœur de nombreux changements.

Les professionnels de la sécurité seront également gagnants. « Je crois qu'il y aura beaucoup de demandes pour ce que j'appelle "CISO-as-a-service" (responsable de la sécurité informatique en tant que service) », indique Tim Grieveson. Il ajoute que, à l'approche de la date d'entrée en vigueur du règlement (et des imposantes sanctions qui peuvent l'accompagner), les entreprises vont soudain renforcer la protection de la sécurité.

Y aura-t-il des perdants dans le processus de préparation au RGPD ?  Oui : les entreprises qui ne sont pas prêtes à faire face aux changements requis, ou encore qui ont décidé de ne pas se préparer, répond Tim Grieveson, surtout s'il s'agit de petites et moyennes entreprises (PME).

« Certaines PME n'ont jamais eu à engager un délégué à la protection des données auparavant », explique-t-il, faisant écho aux commentaires d'autres experts, selon lesquels les PME semblent moins informées des exigences du RGPD.

Il y a encore d'autres ramifications, ajoute-t-il. « Étant donné le niveau des sanctions, les PDG et les directeurs financiers accorderont plus d'attention à la protection des données. »

En définitive, le RGPD offre à toutes les entreprises l'opportunité de sortir gagnantes, dans la mesure où les dirigeants étudient scrupuleusement les données dont ils disposent déjà et celles qu'ils devront détenir et protéger à l'avenir.

« Ils doivent procéder à un audit détaillé », souligne Tim Grieveson, « Micro Focus dispose de la technologie nécessaire, mais il ne s'agit pas seulement de technologie. Faites appel à des partenaires expérimentés. Si vous adoptez de nouveaux processus, vous avez besoin de quelqu'un qui a déjà fait cela auparavant. »

Chiffrement Délégué à la protection des données Juridique Propriété des données Responsable de la conformité Responsable de la sécurité informatique Violation de données

Donnez-nous votre avis et rejoignez-nous sur LinkedIn!

S'ABONNER

S'inscrire pour recevoir les bulletins GDPR & Beyond