2018 : année de la protection des données
Cette année, le 28 janvier n'est pas seulement la journée internationale de la protection des données mais bien le point de départ d'une année charnière pour les professionnels de la vie privée avec l'entrée en vigueur le 25 mai prochain du RGPD.
En 2007, peu de gens connaissaient ou comprenaient le sens de la "Journée de la protection des données", le 28 janvier, journée internationale consacrée à la promotion et à la sensibilisation aux meilleures pratiques en matière de protection des données et de la vie privée. Bien sûr, les décideurs politiques, les chefs d'entreprise et les consommateurs craignaient parfois les risques pour la vie privée inhérents à un immense éventail d'innovations en matière de technologie et de données. Mais la façon de relever ces défis échappait à bon nombre d’entre eux. A peine dix ans plus tard, nous pouvons d'ores et déjà déclarer 2018 comme l’"Année de la protection des données", puisque chaque entreprise et agence gouvernementale en Europe (et dans beaucoup d'autres pays) se précipite pour apprendre, budgétiser et mettre en œuvre le règlement général sur la protection des données.
À compter du 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) marquera un mouvement tectonique dans le cadre de la protection des données en Europe, avec de profondes implications pour les entreprises hors d'Europe, qui traitent des données sur les Européens ou qui exploitent des établissements et des centres de données européens. Contrairement à son prédécesseur, la directive sur la protection des données, le RGPD a une portée mondiale étendue. Cela a attiré l'attention non seulement des directions d'entreprises du monde entier, mais aussi des décideurs politiques japonais, sud-coréens, israéliens et indiens, qui cherchent à aligner leurs réglementations nationales sur la nouvelle norme européenne. Le RGPD donne également aux individus des droits importants, y compris le droit d'accéder aux données détenues par une organisation, de les rectifier, de demander leur suppression et de les transférer à une entreprise concurrente. Pour respecter ces droits, les entreprises devront souvent faire appel non seulement à leurs équipes juridiques et services de conformité, mais aussi aux chefs de produits, ingénieurs et informaticiens pour reconfigurer leurs produits et prestations.
Plus important encore, le RGPD donne aux organes de répression un gros bâton, habilitant les organismes de réglementation à imposer des amendes pouvant atteindre 20 millions d'euros, soit quatre pourcent du chiffre d'affaires mondial annuel d'une entreprise. Il s’agit de montants faramineux aux vues de l’état des résultats des grandes sociétés de technologie, des détaillants, des compagnies aériennes et des banques. Traditionnellement faibles en pouvoirs officiels et affamés par le budget, les agences de protection des données seront donc catapultées dans le premier niveau des régulateurs de marché, aux côtés des agences de la concurrence, des régulateurs des valeurs mobilières et même des autorités fiscales. Il ne faut pas oublier que de nouvelles causes d'action privées et la possibilité d'intenter des actions en justice représentatives donneront aux consommateurs européens les moyens d'appliquer la loi individuellement ou en groupe. Max Schrems, dont la campagne contre Facebook a mis à mal un accord international de longue date entre les États-Unis et l'UE auquel adhèrent plus de 4 000 entreprises, a déjà annoncé le lancement d'une ONG dédiée à la poursuite des atteintes à la vie privée sous le nom de NOYB, abréviation de "none of your business".
Pour faire face à ces risques et relever ces défis, les entreprises doivent faire preuve d'intelligence en matière de protection des données. Cela implique dans un premier temps d’éduquer les équipes de direction et de former le personnel afin qu'ils reconnaissent les risques liés à la protection des données et qu'ils comprennent les concepts non intuitifs tels que les données personnelles - ce qui comprend non seulement les données sensibles sur les finances ou la santé, mais aussi des renseignements à première vue banals mais identifiables, comme une adresse IP, un numéro de téléphone ou un cookie. Cela nécessite également d’instaurer la pseudonymisation, c'est-à-dire le processus qui consiste à supprimer les identificateurs directs d'un ensemble de données afin de le rendre moins facilement identifiable. Enfin, il faut des contrôleurs et des processeurs - qui sont des rôles différents que les organisations peuvent assumer dans diverses configurations et constellations de la chaîne de traitement des données.
Tôt ou tard, les entreprises se tourneront vers une nouvelle catégorie professionnelle - les délégués à la protection des données et de la vie privée (DPD), qui sont déjà mandatés en vertu du RGPD dans certaines circonstances - pour gérer, superviser et minimiser les risques liés à la protection des données. Au cours des dix dernières années, le domaine de la protection des données et de la vie privée est devenu une profession qui possède un ensemble de connaissances à l'intersection du droit et de la technologie, des opérations et de l'éthique, de la gestion stratégique et de la gouvernance. En 2018, les entreprises se précipiteront pour embaucher des milliers de professionnels de la protection des données et de la vie privée afin d’être sûres que les avantages considérables des nouvelles percées technologiques n'auront pas de coût social insoutenable.