RGPD : l’importance de la protection des données "by design" et "by default"
Voici plusieurs concepts, ou nouvelles tendances émergentes, afin de clarifier quelques-unes des nouvelles dispositions du RGPD.
Avec l’émergence de la culture du "toujours connecté", sous l’effet des nouvelles capacités des appareils mobiles et de la transformation numérique des services, les entreprises sont désormais en mesure de réunir et de traiter un large panel de données identifiables et comportementales à chacune de nos interactions en ligne. Dans le même temps, le stockage et le traitement de ces données ont quitté le périmètre informatique traditionnel et les salles de serveurs pour les environnements cloud et hybrides de data centers implantés partout dans le monde.
Cette évolution du paysage de l’information s’est accompagnée de l’entrée en vigueur le 25 mai 2018 du Règlement général sur la protection des données (RGPD). Certes, beaucoup en ont entendu parler mais leur entreprise est-elle pour autant conforme ?
Cela fait plusieurs années que ce projet de règlement est dans l’air mais ce n’est qu’au printemps dernier qu’il est devenu effectif, y compris ses sanctions et pénalités. En gros, les entreprises doivent protéger les données personnelles traitées et stockées, et savoir précisément ce qu’elles font avec.
Maintenant que l’échéance est passée, il faut absolument rester vigilant. Voici plusieurs concepts, ou nouvelles tendances émergentes, afin de clarifier quelques-unes des nouvelles dispositions du RGPD.
La protection dès la conception (by design) et par défaut (by default)
Souvent, c’est ce qu’on appelle l’approche "privacy by design", ou respect de la vie privée dès la conception, qui fait depuis toujours partie des réglementations de protection des données. La différence avec le RGPD c’est que c’est désormais une obligation légale.
Et cela fait toute la différence. Le RGPD demande aux entreprises de mettre en place des mesures techniques et organisationnelles appropriées pour appliquer les principes établis par le RGPD et pour sauvegarder les droits individuels des utilisateurs. La protection des données by design consiste à envisager la protection des données et le respect de la vie privée systématiquement en amont de vos produits, de vos processus ou de la façon dont vous pilotez votre entreprise.
Les permissions
Les caches à cocher et les procédures de consentement (opt-in) automatique appartiennent au passé : désormais nous allons vers plus de transparence. Nous voulons que les gens sachent quelles données nous capturons et comment nous allons utiliser ces données. Une réelle pression oblige l’entreprise qui collecte les données à faire preuve d’une grande transparence et à informer les gens de leurs droits concernant leurs données. Un concept clé important qui a changé concerne le degré de contrôle sur la permission et la transparence des informations communiquées concernant l’utilisation des données.
Le droit à l’oubli
Enfin, revenons au cœur de cible de cette nouvelle réglementation : les droits des personnes concernées par les données, et le droit à l’oubli numérique. Selon ce concept, quand une entreprise n’a plus de raison de conserver les données d’un individu, alors l’obligation existe de supprimer ces données des systèmes.
Cela ne concerne pas seulement l’Union Européenne, d’autres pays dans le monde continuent de vouloir réglementer la façon dont les entreprises traitent les données personnelles. Il est donc important de ne pas s’endormir et de rester alerte face aux tendances émergentes suite à l’entrée en vigueur du RGPD.