Views
2 months ago

ICTjournal juillet - août 2019

  • Text
  • Entreprises
  • Juillet
  • Ainsi
  • Netzmedien
  • Suisse
  • Plateforme
  • Utilisateurs
  • Travail
  • Chez
  • Solutions

26 protection des

26 protection des données étude Le RGPD crée plus de méfiance que de confiance Entré en vigueur voici un an, le RGPD a paradoxalement créé une crise de confiance chez les utilisateurs, dans un contexte où peu d’entreprises ont su mettre en place des processus suffisamment automatisés pour assurer une conformité durable. Yannick Chavanne Le nouveau règlement européen de protection des données (RGPD) est entré en vigueur le 25 mai 2018. Le RGPD est entré en vigueur le 25 mai 2018. Un an après, le règlement européen de protection des données a-t-il les effets escomptés? Côté entreprises, cette réforme avait pour objectif annoncé d’apporter clarté et cohérence en ce qui concerne les règles à appliquer en matière de protection de la vie privée. Il s’agissait en outre d’œuvrer à rétablir la confiance des utilisateurs. Or, selon une étude du cabinet Wavestone, après s’être souvent mis en conformité dans une certaine précipitation, les entreprises ont encore des challenges à relever pour assurer une conformité durable. Et de façon a priori paradoxale, l’entrée en vigueur du RGPD a en parallèle diminué la confiance des utilisateurs quant au traitement de leurs données personnelles par les entreprises. Des processus insuffisamment automatisés Après avoir interrogé 24 entreprises clientes françaises et internationales, de toutes tailles et de différents secteurs d’activité, Wavestone constate qu’elles ont certes mené des actions concrètes pour se mettre en conformité (nomination d’un DPO, mise à jour des formulaires de collecte de données ou des processus de gestion des demandes d’exercice de droits, etc.). En revanche, peu d’entre elles ont su mettre en place des processus suffisamment automatisés. Ainsi, les processus mis en place sont pour la plupart manuels et plus de la moitié des entreprises sont contraintes de gérer les consentements par silo. De plus, seulement une firme sur trois parvient à garantir la suppression de l’intégralité des données d’un client dans le cadre d’un droit à l’oubli. «Les processus mis en place dans l’urgence de la conformité sont encore très artisanaux, il s’agit désormais de réorganiser le système d’information autour de points de vérité omnicanal pour faciliter l’industrialisation», expliquent les auteurs de l’étude. Il est dans cette optique nécessaire de se doter d’une gouvernance adéquate, en repensant la stratégie de collecte, d’utilisation et de valorisation des données dans le respect de la réglementation. Mais pour faire face à ces défis, les entreprises manquent encore de personnel qualifié: seul un quart des firmes sondées considèrent avoir une équipe «privacy» adaptée aux besoins réels. Crise de confiance des utilisateurs Du côté des citoyens, contrairement aux objectifs, le RGPD a provoqué une crise de confiance. Un tiers des 3620 personnes interrogées par Wavestone considèrent faire moins confiance aux entreprises, par rapport à il y a un an, quant à l’utilisation de leurs données. «Du fait de la complexité renvoyée, des violations désormais publiques et des différents scandales, les citoyens sont plus méfiants, perdent confiance et sont moins enclins à partager leurs données», analyse le cabinet. Si près de la moitié des participants à l’enquête acceptent de partager leurs données comme contrepartie pour avoir accès à de nouveaux services, un quart se montre réfractaire, et ce, quelle que soit l’utilisation qui en est faite. La méfiance des utilisateurs se traduit également en actes. L’enquête de Wavestone indique par exemple qu’un tiers d’entre eux ont déjà demandé à une organisation de cesser de leur envoyer de la communication par email ou SMS. En outre, pour exercer leurs droits, certains n’hésitent plus à se plaindre auprès de leur autorité de contrôle. juilletaoût 2019 www.ictjournal.ch © netzmedien ag

protection des données DPO 27 «Il est rare que les entreprises suisses recrutent un DPO» ych. A l’occasion du premier anniversaire de l’entrée en vigueur du RGPD, ICTjournal a posé quelques questions à Claude Lachat, DPO chez Ofac et président de l’Association Suisse des Délégués à la Protection des Données (ASDPO). Quel impact a eu le RGPD sur la fonction des responsables de la protection des données dans les entreprises suisses? Dans le cadre de la LPD, la Loi fédérale sur la protection des données, le conseiller à la protection des données ne s’occupe que de déclarer les fichiers relatifs au traitement des données. Pour les entreprises soumises au RGPD, la fonction est véritablement devenue celle d’un DPO. Leur rôle va beaucoup plus loin et comprend par exemple l’analyse de conformité avec la législation applicable. Le DPO est également chargé d’aider le responsable de traitement de données à caractère personnel à entretenir son registre. Leurs tâches comprennent aussi ce qu’on appelle les DPIA, c’est-à-dire les analyses d’impact en matière de protection des données. A qui les entreprises suisses confient-elles généralement le rôle de DPO? Dans le cas où les entreprises nomment un DPO en interne, il s’agit en général d’une promotion. La fonction est confiée à une personne déjà familiarisée avec les problématiques de protection des données. Typiquement un CISO, qui suit alors une formation et fait certifier ses compétences en la matière. Il est en revanche assez rare que les entreprises recrutent un nouveau collaborateur pour assurer la fonction de DPO. Dans le cas où elles ne disposent pas des profils adéquats en interne, elles font appel à un DPO externe. De nombreuses sociétés en Suisse romande proposent ce type de service de consulting. Le RGPD oblige de notifier des violations à risque aux autorités chargées de la protection des données. Les firmes suisses répondent-elles à cette exigence? Si une entreprise a déjà une maturité suffisante dans la gestion des incidents, si elle a mis en place des workflows et qu’elle dispose d’outils pour identifier les potentiels incidents critiques et analyser leur impact, alors se conformer sur ce point au RGPD ne pose pas de difficultés particulières. Mais il est vrai que de nombreuses entreprises suisses n’ont pas ce degré de maturité. L’interview complète est disponible en ligne. www.ictjournal.ch «Dans le cas où les entreprises nomment un DPO en interne, il s’agit en général d’une promotion.» Claude Lachat, président de l’ASDPO LA TRIBUNE DU DPO Isabelle Dubois Experte en protection des données et ancienne Préposée à la protection des données et la transparence de l’Etat de Genève. adhocresolution.ch RGPD, le verre à moitié plein ou à moitié vide On peut constater les effets négatifs induits par le RGPD – baisse de confiance des utilisateurs, mesures insuffisantes de mise en conformité ou au contraire usines à gaz coûteuses et peu durables. On peut réduire le Conseiller en protection des données en entreprise à un simple «déclareur de fichiers» – ce qui revient à méconnaître la loi – et minimiser son rôle par rapport au DPO, ou délégué à la protection des données du RGPD. On peut voir le verre à moitié vide, mais selon moi, ces constats ou avis d’experts plus ou moins pertinents sont chose normale en période de transition. Pour ma part, je préfère voir le verre à moitié plein: on parle, enfin, de protection des données, même si pour beaucoup de petites entreprises suisses seule la loi fédérale s’applique; on revoit les procédures de travail, désormais conscients des risques et enjeux. Les obligations légales en matière de protection des données, c’est avant tout du bon sens, de la conscience professionnelle, une saine gestion des actifs, et le respect d’autrui. Ainsi, un an après le RGPD, je constate une prise de conscience salvatrice des entreprises suisses de petite et moyenne taille, et un réel plaisir à prendre ensemble le chemin vers la conformité, en toute sérénité quand l’accompagnement est adapté au contexte. Car cette mise en conformité permet au dirigeant de reprendre la main sur ses données, et cela est rassurant. Et lorsque des utilisateurs exigent qu’on supprime leurs données, c’est non par défiance mais par ras-le-bol d’être traités comme une marchandise. Car la bonne nouvelle dans ces nouvelles règles, et celles encore à venir, c’est que l’on reparle des droits fondamentaux: la dignité humaine, la liberté personnelle et le respect de la vie privée. N’oublions pas en effet que ces règles viennent d’une Convention internationale à vocation universelle (Convention 108+), dont le préambule porte sur la nécessité de garantir l’autonomie personnelle. www.ictjournal.ch © netzmedien ag juilletaoût 2019