À l’approche du 25 mai, date du premier anniversaire du règlement général européen sur la protection des données (RGPD), nous aurions pu penser que l’état de la confidentialité des données serait différent par rapport à la même période il y a 1 an…

Au cours de l’année, nous avons été témoins d’exemples d’atteintes à la protection des données très médiatisées, mais nous n’avons pas encore vu les autorités européennes disposer de leurs nouveaux pouvoirs réglementaires pour imposer des sanctions maximales aux multinationales qui ne respectent pas le RGPD.

 Cependant, tandis que les entreprises continuent à collecter des quantités astronomiques de données, l’année écoulée a marqué un tournant dans leur politique de confidentialité. Les entreprises du monde entier se sont hâtées de respecter la date limite de mai 2018. Les organismes de réglementation européens ont embauché du personnel supplémentaire et ont commencé à tester l’impact de l’application de ces nouvelles politiques. Bien au-delà de l’Europe, des pays tels que le Nigeria et le Japon ont mis au point des réglementations qui reflètent le RGPD. En outre, le réseau D9 est à la tête du développement d’un gouvernement ouvert plaçant la confidentialité des données au cœur de l’attention. L’Estonie, l’un des pays membres du D9, a même ouvert la première ambassade dédiée aux données dans le monde afin de conférer un statut diplomatique aux données qu’elle détient.  

 Plus généralement, nous assistons à une prise de conscience croissante quant à la manière dont les organisations collectent et traitent les données personnelles. Pourtant, les entreprises de tous les secteurs ont encore des difficultés à se conformer à certaines exigences critiques du RGPD, telles que la notification sous 72 heures en cas de piratage, ou le fait que les consommateurs puissent demander une copie des données détenues par une entreprise à leur sujet. Pour surmonter ces problèmes au cours de l’année à venir, les organisations doivent passer du statut de propriétaire à celui de dépositaire des données.  

Pour ce faire, elles doivent inventorier les données personnelles dont elles disposent, où et comment elles sont stockées et traitées, qui les utilise, à quoi elles servent, et si elles ont obtenu le consentement adéquat de la personne concernée. Des services de conseil en processus de recherches de preuves (Discovery) peuvent contribuer à trouver et à identifier ces informations. En outre, une plateforme de gestion des informations d’entreprise (EIM) est indispensable pour une gestion conforme des données et des processus qui y sont associés. Cette visibilité sera essentielle au cours de la deuxième année de mise en application du RGPD si l’on souhaite que les entreprises obtiennent un statut de conformité et évitent des sanctions potentiellement très lourdes en cas d’infraction.

SOURCE