Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) entrera en vigueur en Europe afin d'harmoniser les droits à la vie privée dans les 28 États membres de l'UE. Si chaque pays peut maintenir ses propres lois sur la protection de la vie privée et imposer des sanctions supplémentaires, le RGPD établit un socle commun de protection pour les citoyens (et résidents) de l'UE, ainsi que pour les collecteurs et les sous-traitants de données. données personnelles– un ensemble d’obligations communes et d’amendes potentielles (jusqu’à 4% de chiffre d’affaires mondial par entreprise et par pays).
À qui appartiennent ces données ?
L'une des innovations les plus fondamentales du RGPD est l'institutionnalisation d'un droit fondamental à ses données. En vertu du RGPD, tout citoyen (ou résident) de l'UE dispose d'un droit d'accès, de portabilité et d'effacement de ses données. Les entreprises qui collectent et traitent des données de consommateurs ou d'employés, c'est-à-dire les responsables du traitement, sont tenues de restituer les données d'un individu sur demande. Le RGPD réoriente l'équilibre des droits et obligations entre le propriétaire des données et le sous-traitant. Les personnes ne perdent jamais leur droit aux données les concernant ou traitées par elles, tandis que les entreprises deviennent à leur tour des gardiens de données, avec de nouvelles obligations envers les données qu'elles gèrent pour le compte des propriétaires des données.
Ce nouveau principe est particulièrement manifeste dans le droit à l'oubli. Si l'idée du droit à l'oubli a précédé le RGPD en Europe et ailleurs, le RGPD élève ce concept au rang de priorité et lève toute ambiguïté quant à cette obligation. En vertu du RGPD, les citoyens et résidents de l'UE ont le droit fondamental de faire supprimer leurs données sur demande. Aucun test ne permet de déterminer si les données sont erronées. Les données appartiennent à l'individu et celui-ci peut en faire ce qu'il souhaite.
Quel est l’intérêt des contrôleurs de données sans contrôle des données ?
Pour les entreprises qui collectent et traitent des informations personnelles, ce nouveau droit sur les données représente un changement radical dans leur façon de les percevoir et de les gérer. Depuis l'apparition des bases de données, les données personnelles ont été davantage considérées comme une marchandise au sens littéral du terme, comme en témoignent les termes utilisés pour décrire leur lieu de stockage : magasin de données, entrepôt de données, lac de données. Comprendre l'identité du propriétaire des données, si tant est qu'il existe, a servi l'objectif principal de la personnalisation et de la prédiction. Il s'agissait – et reste largement – d'« analyser pour monétiser ».
Le RGPD contribue à restituer la dimension humaine des données personnelles. Il rappelle aux entreprises que ces données appartiennent à une personne à qui elles doivent rendre des comptes. Cependant, connaître les données d'une personne a une valeur qui va au-delà de l'intelligence. Les données inconnues ne sont pas invisibles, elles sont simplement vulnérables au vol, à l'utilisation abusive et à la compromission. Pour satisfaire aux nouvelles exigences du RGPD, les entreprises doivent identifier et inventorier les données par personne. Cela crée de nouvelles opportunités en matière de protection des données, de conformité et de gouvernance. Le droit à l'oubli garantit que les données de chaque personne ne soient pas oubliées. Indirectement, les nouveaux droits relatifs aux données personnelles permettent une meilleure protection des données personnelles, qu'il s'agisse du numéro de sécurité sociale ou de l'adresse IP.
Gouvernance et protection des données personnelles axées sur les données
Historiquement, la réglementation a aidé les entreprises à concentrer leur attention et leur budget. Aux États-Unis, des réglementations telles que Sarbanes (SOX), HIPAA et PCI, pour n'en citer que quelques-unes, ont incité les entreprises à redéfinir leurs priorités et à repenser leurs approches de gestion des données et des applications. L'industrialisation des États-Unis a invariablement conduit à l'adoption de nouveaux types d'automatisation technologique, aux acronymes mémorisables tels que SIEM, SSO, DLP, DAM et DRM. Cependant, chaque innovation répond à une problématique spécifique et répond donc à un problème spécifique à un moment précis. Les droits individuels d'accès, de portabilité et d'effacement des données impliquent de nouvelles exigences et, par conséquent, de nouvelles exigences en matière de gouvernance, de protection et de conformité des données.
Si le RGPD définit une nouvelle référence en matière de réglementation relative à la vie privée, il n'est pas le seul à être à l'origine de cette nouvelle ère en matière de gouvernance et de protection des données personnelles. La Chine vient d'instaurer un droit similaire, à l'instar de nombreux autres pays. De même, aux États-Unis, plusieurs États débattent de projets de loi visant à instaurer de nouveaux droits sur les données personnelles. Pour les entreprises, cela implique un nouveau type de gouvernance, de protection et de conformité des données, capable de prendre en compte les données d'une personne et de garantir sa responsabilité à son égard. Il n'est donc pas surprenant qu'une nouvelle génération d'entreprises comme BigID cherche à combler ce vide grâce à des technologies qui les aident à respecter ces nouvelles obligations tout en étant plus responsables et transparentes envers leurs clients et leurs employés.
@dimitrisirota
Auteur
