Trois ans après : le RGPD, nouveau modèle économique de la conformité ?

Cropped Favicon Economi Matin.jpg
Par Jean-Pierre Boushira Publié le 24 mai 2021 à 10h10
Anonymisation Donnees Rgpd
@shutter - © Economie Matin
24%24% des Français ont télétravaillé pour la première fois durant le confinement.

Le RGPD souffle une nouvelle bougie en 2021. Trois ans après son lancement, beaucoup d’entreprises internationales sont encore loin des objectifs fixés. Les régulateurs ont déjà appliqué des amendes importantes pour non-respect des réglementations en vigueur. Dernière en date, Google, avec une amende de 100 millions d’euros en fin d’année 2020. Malheureusement, de nombreuses d’entreprises françaises sont encore à la traîne, presque comme si elles faisaient tout juste nécessaire pour éviter des sanctions et/ou des mesures coercitives.

En matière de conformité, les organismes de contrôle de données devront trouver des moyens plus directs et efficaces pour les faire respecter et engendrer de réels changements à l’avenir.

Plus qu’une réglementation, un modèle de conformité

Les régulateurs des données du monde entier pourraient également célébrer le troisième anniversaire du RGPD. Même si certains acteurs réfractaires ont estimé qu’il serait difficile pour les entreprises de mettre en place cette réglementation, le RGPD est devenu l’une des exportations les plus réussies et controversées de l’Union Européenne. Il a même un tel succès que les gouvernements du monde entier ont reproduit (ou envisagent de reproduire) ces pouvoirs sur leurs propres marchés. La question se pose maintenant de savoir comment ces réglementations peuvent être fusionnées afin de simplifier leur respect à l’échelle mondiale. Bien sûr, cela dépendra de la valeur réelle que les gouvernements accordent à cette capacité à collaborer - ou, du moins, s’ils la privilégient par rapport aux recettes fiscales qu’ils peuvent potentiellement obtenir en exigeant la souveraineté des données.

Pour revenir à un niveau plus européen cette fois, la question de l’accord d’adéquation sur le maintien de la libre circulation des données entre le Royaume-Uni et l’UE laisse présager d’important changements pour les entreprises britanniques. En effet, en tant que tiers, le respect par le Royaume-Uni des règles du RGPD de l’UE sera désormais soumis à un examen accru des régulateurs nationaux européens. Si les exigences ne sont pas respectées, ces mêmes régulateurs pourraient qualifier cette destination comme non sûre pour les données de l’UE.

Le RGPD dans des conditions exceptionnelles de crise sanitaire

Les passeports vaccinaux COVID-19 constituent une question délicate pour les gouvernements du monde entier, en particulier ceux qui veulent faire respecter les libertés et droits individuels. Mais, alors que la pression pour libérer les entreprises et profiter à nouveau des avantages du tourisme international se heurte à la pression pour défendre la protection durement gagnée de l’immunité contre le virus grâce aux vaccins, les passeports vaccinaux continueront d’être proposés comme une solution privilégiée. Bien que ce débat commence à émerger, l’argument que de nombreux militants anti-passeports vaccinaux sont susceptibles de faire valoir sera le RGPD et ses exigences strictes en matière de collecte de données de santé. Jusqu’à présent, des amendes conséquentes concernant le RGPD ont été imposées aux entreprises du secteur du voyage et de l’hôtellerie, notamment les compagnies aériennes, qui se trouvent dans la ligne de mire des régulateurs. Si les gouvernements souhaitent une transition sans heurt pour le lancement de leurs passeports COVID, il sera essentiel de d’abord aborder la question du RGPD.

Le télétravail, une nouvelle norme qui soulève de nouvelles questions

La plupart des plus grandes entreprises internationales ont déjà clairement indiqué qu’elles n’avaient pas l’intention de faire revenir leurs collaborateurs dans des bureaux dédiés, même une fois la pandémie terminée. Pour beaucoup d’entre elles, cela signifie réaliser des économies sur le loyer et veiller à ce que les collaborateurs aient accès à l’équipement et aux applications appropriés à distance. Toutefois, il serait naïf d’ignorer les questions de conformité au RGPD liées au travail à domicile, étant donné que les bureaux jouent souvent un rôle clé dans la fourniture d’un environnement adéquat pour le respect de la réglementation.

La suppression des données est un bon exemple. D’importantes quantités de données créées par les entreprises ont un cycle de vie légalement défini. Mais lorsqu’il s’agit des données distribuées sur les ordinateurs portables à la maison, cela est beaucoup plus difficile à gérer - d’autant que les entreprises écartent les VPN en faveur de politiques de sécurité Zero Trust. De même, les personnes travaillant à 100 % à domicile sont un casse-tête réglementaire concernant les documents imprimés qui seraient normalement destinés à une destruction sécurisée grâce à machines dédiées installées dans les bureaux.

Le RGPD et le retour au bureau

Des études scientifiques indiquent qu’il faut en moyenne 66 jours pour que quelque chose devienne une habitude. Pour beaucoup d’entre nous, il est maintenant ancré dans notre esprit de vérifier que nous avons un masque lorsque nous quittons notre domicile. À l’opposé, nous sommes des millions à avoir complètement oublié les habitudes que nous avions pour nous assurer que nous prenions nos téléphones d’entreprise et nos ordinateurs portables avec nous. Vérifier de ne pas oublier de bagages dans le train, vérifier au pied de la chaise du avant de quitter un café, fouiller dans la pochette du siège de l’avion : ces réflexes que nous avions avant de partir sont désormais complètement étrangers.

Lorsque vous l’associez à enthousiasme de la réouverture des lieux publics, et à l’assouplissement des règles interdisant l’interaction sociale, toutes les entreprises qui invitent les collaborateurs à revenir travailler dans leurs locaux doivent s’attendre à une forte augmentation de la perte des appareils. Alors, qu’en est-il des données sur ces appareils, et dans quelles mains tombent-elles ?

Les spécialistes des données recommandent fortement de protéger les données sur les téléphones portables et les ordinateurs portables avant de rouvrir les bureaux. La capacité à supprimer à distance les données de ces appareils, puis à les restaurer en toute sécurité et avec précision sur un dispositif, afin que les collaborateurs puissent continuer à travailler, peut s’avérer inestimable dans les mois à venir.

Depuis sa création, le RGPD dispose d’un bilan plutôt positif. Comme le souligne le dernier rapport annuel de la CNIL, des défis et des axes d’amélioration subsistent ; l’Institution y affirme également que des actions sont engagées dans ce sens. Plus que jamais avec ce nouveau contexte sanitaire évolutif, le RGPD a prouvé son utilité et son efficacité notamment les transferts internationaux de données impactant les PME ou encore le développement des nouvelles technologies. Par ailleurs, si une éventuelle révision de ce règlement n’est pas encore envisagée par les autorités compétentes, le RGPD a donc encore de beaux jours devant lui.

Laissez un commentaire
Cropped Favicon Economi Matin.jpg

Jean-Pierre Boushira est Vice-President Europe du Sud et Benelux chez Veritas Technologies.