La Commission Européenne travaille actuellement à la mise en place d’un règlement unique définissant les modalités de protection des données personnelles au sein de l’Union Européenne (RGPD). Il s’agit d’harmoniser des législations qui, à ce jour, sont propres à chacun des pays de l’Union. Le projet devrait être finalisé d’ici début 2016, c’est pourquoi il est primordial que les entreprises en prennent connaissance avant sa mise en place effective. Dans la mesure où il s’agit d’un règlement et non d’une directive, la GDPR n’entraînera pas de modification des lois nationales.
Quelles données sont concernées ?
La Commission européenne définit les données personnelles comme “toute information concernant un individu, qu’il s’agisse de sa vie privée, professionnelle ou publique. Il peut s’agir de n’importe quoi, d’un nom à une photo en passant par une adresse e-mail, des coordonnées bancaires, des publications sur les réseaux sociaux, des informations médicales ou l’adresse IP d’un ordinateur”.
Le RGPD s’appliquera à toutes les entreprises basées dans l’Union européenne qui collectent, gèrent ou stockent des données personnelles. Mais il concernera aussi toute organisation traitant les données personnelles de citoyens de l’Union.
Que prévoit le nouveau règlement ?
1) Toute collecte et/ou manipulation de données personnelles nécessitera d’obtenir le consentement éclairé des personnes concernées : il faudra non seulement leur fournir des informations adaptées à leur niveau de compréhension ; il faudra également obtenir leur consentement explicite avant toute utilisation de ces informations.
2) Le règlement établira ensuite un “droit à la portabilité” à l’échelle de l’Union européenne : il permettra, sur simple demande, de transférer des données d’un prestataire à un autre.
3) Un “droit à l’oubli” sera instauré : il autorisera toute personne à réclamer la suppression des données personnelles la concernant.
4) Le dispositif prévoit aussi de protéger les mineurs de moins de 13 ans : la collecte de données personnelles les concernant nécessitera un accord parental systématique.
RGPD : Quelles conséquences pour les entreprises ?
Toutes les entreprises devront indiquer aux internautes dont les données personnelles sont stockées quelles mesures sont prises pour en assurer la sécurité dans le cadre du RGPD.
Il faudra également leur permettre de récupérer sous un format simple et exploitable l’ensemble de leurs données personnelles (à l’instar des dispositions prises par Facebook pour permettre à ses membres de télécharger un fichier global comportant toutes les informations envoyées sur le réseau).
Enfin, au nom du droit à l’oubli, les entreprises devront être en mesure de répondre aux demandes de suppression des données personnelles adressées par les internautes.
Le cloud : une solution dans le respect du règlement
Le cloud permet aujourd’hui de stocker, consulter et partager des données sensibles de manière sûre et conforme à la législation. Cette notion de sécurité est centrale à plus d’un titre : d’abord, pour garantir la protection de données souvent très confidentielles ; ensuite, parce que la sécurité dans le cloud est aujourd’hui la principale source d’inquiétude des entreprises.
Dans une étude publiée en juin 2015, 62% des entreprises interrogées confirmaient avoir encore des craintes liées à la sécurité, tandis qu’elles étaient 48% à mentionner les risques liés aux données privées.
Un challenge pour les pionniers du cloud, à l’instar d’Oodrive qui a mis en place une démarche très rigoureuse en matière de sécurité :
- L’entreprise a obtenu la certification ISO 27001, norme internationale qui atteste de la mise en œuvre de procédures de sécurité rigoureuses, appliquées par l’ensemble des salariés.
- Deux personnes ont même été certifiées ISO 27001 en interne pour améliorer en permanence ces procédures et veiller à leur bonne application.
- Les datacenters qui stockent les données des clients sont implantés au niveau local dans chaque pays où Oodrive possède une filiale : chaque client peut ainsi bénéficier de la législation qui convient le mieux à ses attentes, à l’instar de la France et de l’Allemagne où les règles en matière de protection des données personnelles sont strictes.
- Oodrive détient également la certification Cloud Confidence. Elle prend appui sur le cadre légal européen et vise à garantir aux utilisateurs la transparence des offres de leur prestataire : localisation des données et politique de sous-traitance, protection de ces données, etc.
- Les solutions de collaboration proposées, comme iExtranet, intègrent un cryptage des données très puissant (AES-256). Cette norme internationale est utilisée par certains gouvernements pour protéger les informations classifiées « top secret » (plus haut niveau de confidentialité).
- Oodrive s’assure aussi de la traçabilité grâce à des solutions qui consignent tout accès, téléchargement ou modification de données.
Ce sont quelques-unes des initiatives mises en œuvre pour garantir un niveau irréprochable de sécurité conformément aux règlements et législations en vigueur.
Selon un sondage Ipswitch réalisé fin 2014, plus de la moitié des entreprises interrogées ignorent le sens du sigle RGPD. Elles ne sont que 12% à se dire prêtes à mettre en place le futur règlement européen. Des chiffres qui montrent l’importance d’une prise de conscience rapide, d’autant que les sanctions prévues sont significatives. Les entreprises qui ne respecteront pas les dispositions de ce nouveau règlement s’exposeront à des pénalités pouvant atteindre 2% à 5% de leur chiffre d’affaires mondial.
