2020 doit être l'année de la mise en place d'une culture de la transparence des données

Encore récemment, le sujet de la protection des données et de la vie privée ne concernait qu'une minorité de salariés au sein d'une entreprise. Mais le vent a rapidement tourné.

D’un point de vue anthropologique, l’Homme a toujours souhaité assurer le maintien de sa vie privée comme peuvent en témoigner depuis plus de 3000 ans la présence de murs internes dans les habitations dès 1500 av. JC. En revanche, la notion de droit à la vie privée telle que nous la définissons aujourd’hui est plus récente : elle a été reconnue comme droit universel en 1948, et la Suède est le premier pays à promulguer une loi sur la protection des données en 1973. Cependant, aussi manifeste soit-il, ce premier effort de régulation est apparu uniquement à cause de l’inquiétude de la population face à l’utilisation croissante d’ordinateurs pour stocker et traiter des informations personnelles.

Si notre approche actuelle de la protection des données s'inscrit dans ce contexte, il est évident que l’année 2018 aura été un tournant avec la mise en place du règlement général sur la protection des données (RGPD). En moins de deux années, l’impact de cette régulation s'est révélé majeur. Un cadre réglementaire a été mis en place dans lequel les régulateurs de RGPD n’ont pas hésité à faire preuve de fermeté en y intégrant des règles strictes. Si celles-ci venaient à ne pas être respectées, alors le montant des amendes s’élèverait à près de 429 millions d'euros. Une somme significative qui ne manquerait pas de rappeler à toute entreprise traitant avec des citoyens européens qu’il existe désormais une régulation bien précise ainsi que des sanctions en cas de non-respect des exigences.

En France, la Commission Nationale de l'Informatique et des libertés (CNIL) s’est montrée dans un premier temps assez indulgente, accordant un délai de mise en conformité. En revanche, à partir de l’été 2020, les sites utilisant des cookies devront impérativement obtenir le consentement explicite des utilisateurs en ligne. La fin de cette période de relative indulgence devrait s’accompagner d’un durcissement des sanctions. En janvier 2020, le montant total cumulé des amendes distribuées par les instances de régulations européennes atteignait 114 millions d’euros tandis que le nombre de plaintes a augmenté de 12% en 2019.

Développer les compétences en matière de protection de la vie privée

En plus de la création d’un schéma défini permettant un meilleur encadrement concernant les bonnes pratiques en matière de manipulation des données, le RGPD a replacé l’humain au cœur du processus. En effet, il est fondé sur les droits fondamentaux des citoyens et sur la façon dont les collaborateurs doivent les faire respecter plutôt que sur des normes techniques ou des exigences logicielles. A titre d’exemple, l’emblématique article 37 déclare que toute autorité publique ou entreprise dont les activités principales exigent le suivi ou traitement à grande échelle de données personnelles ou criminelles doit désigner un Data Protection Officier (DPO).

Même dans les entreprises où la présence d’un DPO n’est pas obligatoire, il est fortement conseillé d’en désigner un pour être guidé vers des processus de traitement des données plus respectueux de la vie privée. En 2018, lorsque le RGPD est entré en vigueur, ce ne sont pas moins de 75 000 postes de DPOs qui se sont créés, dont près de 28 000 en Europe et aux États-Unis.

C’est précisément cette période de transition qui doit permettre aux organisations de se tourner vers une culture de la transparence plus forte. Les collaborateurs n’ont pas besoin de devenir des professionnels dans ce domaine mais au moins de comprendre les principes et enjeux fondamentaux.

Bien que le PDG reste le principal responsable en cas de non-respect des lois, il s’appuie en premier lieu sur le DPO qui a la lourde tâche d’assurer la conformité de celles-ci. Il n’en reste pas moins que pour assurer le respect des bonnes pratiques et garantir la protection des données, les entreprises ne doivent pas négliger la mise en place d’une stratégie IT.

L’état d’esprit prime sur le matériel

Désormais une majorité des décisionnaires IT perçoive la gestion de données comme un moyen de créer davantage de valeur ajoutée. Ainsi dans une entreprise qui s’approvisionne et gère ses données dans le cloud, des sujets comme la sauvegarde, la réplication et la restauration font partie d’un même processus. Ce fonctionnement lui garantit une donnée toujours disponible, facilement récupérable et sécurisée à tout moment. Mais comme la confidentialité des données, l’IT a également une dimension humaine. Dans un contexte où les entreprises ont plus que jamais besoin de protéger leurs données, les PDG, les DSI et les DPO cherchent à entrer en contact avec des collaborateurs de confiance pour les aider à réduire les risques liés à la gestion de leurs données. Cette alliance peut prendre diverses formes telles que la configuration des systèmes de gestion des données, une formation technique pour les administrateurs ou une simple sensibilisation à la protection des données pour les utilisateurs finaux.

Il reste désormais moins de six mois aux entreprises pour se mettre à jour concernant les bonnes pratiques en matière d’utilisation et de stockage des données. Au commencement d’une nouvelle décennie, le moment est particulièrement bien choisi pour se poser les bonnes questions. L'impact du RGPD va s’ancrer durablement, à mesure que les entreprises s'adapteront à ses exigences et que l’indulgence des régulateurs ira en s’amenuisant. L’augmentation du nombre de sanctions et les préjudices portés à la réputation accélèrent le besoin en DPO. Et si investir dans des solutions de gestion de données dans le cloud est l’une des réponses possibles, il n’en reste pas moins que la protection de la vie privée concerne l’ensemble des collaborateurs. Par conséquent, des investissements avisés peuvent aussi passer par des partenaires de confiance pour former les collaborateurs à tous les niveaux dans les rigueurs de la conformité et mettre ainsi en place une véritable culture de la transparence des données.