Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Luc Delpha, Provadys : Protection des données personnelles, et si le made in France était un label de protection durable de la vie privée ?

avril 2013 par Luc Delpha, Directeur de l’offre de services Gestion des Risques, Provadys

De nombreux travaux ont été menés au niveau européen sur la thématique de la protection des données à caractère personnel. Le projet de règlement semble aujourd’hui bien abouti et devrait déboucher sur une publication fin 2013 ou début 2014.

Ce texte envisage à la fois des assouplissements à destination des entreprises, un renforcement des sanctions financières ainsi que la généralisation de l’obligation d’informer les individus dont les données personnelles auraient été compromises/divulguées. Ce texte par nature (règlement) deviendra applicable dès sa publication sans attendre de transposition nationale. Il ne semble pas envisageable qu’une législation nationale à construire dans les prochains mois aille dans une direction contraire. Nous nous attendons donc à un texte pouvant être plus précis et plus spécifique quant aux enjeux du développement du numérique en France.

En effet, légiférer de manière spécifique en droit national n’aurait de sens que pour permettre une traduction plus fidèle au contexte Français des grands principes validés à l’échelle de l’Union européenne.

Une maturité inégale des entreprises

La protection des données personnelles est un sujet sur lequel les écarts de maturité sont encore très marqués dans les entreprises. Certaines, très contraintes par leur régulateur (ACP, ARJEL, …) ou les référentiels (PCI DSS, RGS, ASIP, …) qui leur sont applicables ont d’ores et déjà fait de gros efforts pour protéger les données qu’elles manipulent. En effet, qu’elles soient d’identité, bancaires ou de santé, les données à caractère personnel sont considérées comme des éléments de patrimoine autour desquels des mesures doivent être mises en œuvre afin de faire face aux risques associés. Nous constatons depuis quelques temps une augmentation du niveau de prise de conscience des entreprises françaises quant aux risques liés à la gestion de ces informations. Néanmoins, et particulièrement dans le domaine de l’Internet, force est de constater que très peu d’entreprises ont mis en œuvre une approche globale de traitement de ces risques. Dans le secteur du numérique, les entreprises encore jeunes ont assez peu de recul quant à la gestion des risques et appréhendent encore mal les contraintes qu’elles doivent respecter pour protéger les données de leurs clients. Ainsi, certaines abordent la gestion des données à caractère personnel simplement sous l’angle de la conformité à la loi Informatique et Libertés sans évaluer l’ensemble des risques associés à la présence de ces données dans leur système d’information. Il n’est donc pas rare de retrouver des entreprises qui ne disposent pas d’une vue complète des données sensibles qui circulent dans leur SI. Ces entreprises se retrouvent de fait dans l’incapacité à évaluer les risques posés par ces données, la pertinence des moyens de protection mis en œuvre ou encore leur niveau de conformité aux exigences de la loi.

Quelles orientations face aux évolutions à venir ?

Ainsi, les entreprises du numérique ont pour la plupart déjà du mal à faire face aux exigences du cadre règlementaire actuel. D’une manière générale, les processus permettant d’identifier et traiter les risques liés aux données personnelles y sont encore peu structurés. Les évolutions déjà annoncées vont introduire de nouveaux enjeux en renforçant les sanctions et en augmentant le niveau de responsabilité des entreprises vis-à-vis de leurs données. Elles doivent se préparer à ces évolutions, et au-delà des mesures de sécurité indispensables, considérer la non-conformité au cadre règlementaire comme un risque à traiter en priorité. Il leur est également indispensable de se préparer à faire face aux éventuelles compromissions de données en intégrant cette dimension dans leurs scénarios de gestion de crise. Enfin, il apparait nécessaire de faire appel aux nouvelles capacités de financement des risques ou d’assurance qui émergent sur le marché afin de transférer les risques qui ne peuvent être assumés ou atténués directement par l’entreprise.

Vers une révolution culturelle de la « privacy »

La protection des données à caractère personnel des clients revêt aujourd’hui une importance considérable, elle doit devenir une question de culture et un élément différenciateur pour les entreprises françaises. En démontrant leur attachement à la vie privée et donc à la liberté de leurs clients elles peuvent se démarquer au niveau international. Dans le monde du numérique, il appartient aux entreprises françaises de faire du « made in France » un label de protection durable de la vie privée.

A l’heure où certains critiquent la CNIL et le cadre réglementaire français, les accusant d’être des freins au développement du numérique, il peut être utile de rappeler les mots de Benjamin Franklin : « ceux qui sacrifient la Liberté à la Sécurité, ne méritent ni l’un ni l’autre ».

La « génération Y » n’a pas complètement renoncé à la notion de vie privée, elle en a simplement redéfini les contours. A travers les médias sociaux d’une part et l’exploitation d’autre part de grandes quantités de données non structurées (big data) nous avons vu dans les dernières années évoluer la valeur marchande des données personnelles. D’un côté les individus sont prêts à confier/communiquer des données personnelles dès lors qu’ils peuvent en tirer un bénéfice. D’un autre côté, les entreprises ont besoin d’informations pour délivrer des services à plus haute valeur ajoutée aux consommateurs.
Il est plus que jamais nécessaire de protéger les individus et de fixer les règles de ce nouveau jeu tout en gardant à l’esprit que la confidentialité d’une donnée ou d’une information ne peut pas être récupérée dès lors qu’elle est perdue.


Voir les articles précédents

    

Voir les articles suivants