Protection des données personnelles : la réforme communautaire prend les entreprises de court

Elizabeth Maxwell, Directeur technique EMEA chez Compuware

20% des entreprises ne masquent ni ne protègent les données confidentielles
lors des processus de test

Les entreprises se sentent-elles concernées par les législations européennes ? En matière de protection des données personnelles, l’impact risque d’être plus retentissant que ne le laisse penser l’éloignement géographique d’institutions dont les objectifs sont parfois obscurs. Transferts des données encadrés, amendes réévaluées à la hausse, profilage sous condition, l’ensemble du cadre législatif européen aura des conséquences sur les investissements IT des entreprises.

La collecte de données : un enjeu transfrontalier majeur

A l’aube de devenir un marché colossal, la collecte et la vente des données personnelles sont entrées dans les habitudes des entreprises mais certainement aussi des consommateurs. Si chacun de nous se dit conscient de son empreinte électronique croissante, nous serions surpris d’en réaliser toute la teneur : lieux de villégiature, habitudes de consommation, boissons et restaurants préférés, etc. Très enclins à exiger des publicités plus conformes à nos attentes, nous ne prenons qu’assez peu la mesure du risque en partageant, bien souvent sans notre consentement, nos renseignements personnels.

Devenu un marché international, la négociation des données personnelles se fait dans un monde informatisé, hautement connecté et dans lequel le partage des responsabilités, en cas de violation des dispositifs de protection, reste éminemment nébuleux. Parce que nos données sont devenues une véritable monnaie d’échange, dans un contexte où l’usage veut que nous autorisions implicitement et parfois aveuglément leur exploitation, l’Union Européenne a choisi d’adopter un autre regard sur ces données.

Une législation européenne modernisée, des entreprises à la peine

Considérée comme une nécessité, la réforme du cadre législatif de la protection des données personnelles a connu des avancées importantes entre la fin de l’année 2013 et ce début 2014. Massivement approuvé par les eurodéputés, le projet de règlement a également été beaucoup amendé, vers plus de sévérité. S’il appartient encore au Conseil Européen de se prononcer sur le texte, les mesures phares du règlement et les orientations de la directive semblent d’ores et déjà recueillir un assentiment généralisé.

Les textes prévoient un délai de deux ans laissé aux entreprises pour se mettre en conformité avec le nouveau cadre. Cependant, il n’est pas certain que ce délai soit suffisant, notamment au regard d’une enquête réalisée en 2013 par le Cabinet Vanson Bourne, à la demande de Compuware et portant sur les mesures mises en œuvre par les entreprises pour la protection des données de leurs clients. Réalisée en France, en Espagne, au Benelux, en Italie, au Royaume-Uni, au Japon, en Australie et aux Etats-Unis, l’enquête montre que 20% des entreprises ne masquent ni ne protègent les données confidentielles en phase de de test. Tandis que 43% des entreprises partageant des données clients considèrent obscurs les lois et règlements sur la protection des données personnelles en vigueur.

En outre, 87% des entreprises transmettant des données à un tiers, encadrent la transaction uniquement au travers d’accords de non-divulgation, dont la validité et l’application territoriale pose nécessairement question. Enfin, les entreprises dans leur grande majorité, se sont montrées incapables de chiffrer avec précision le montant de leurs dépenses en faveur de la protection des données et encore moins le coût total engendré par le très prochain corpus législatif européen.

Le coût d’une mise en conformité (ou pas !)

Les entreprises doivent anticiper le coût de l’adaptation de leur système d’information aux textes européens. Si la tentation d’échapper à cette mise en conformité est grande, les amendes encourues le sont tout autant. La directive fixe des amendes pouvant aller jusqu’à 100 millions d’euros ou 5% du chiffre d’affaires annuel mondial de l’entreprise. Nous sommes bien loin des amendes maximales jusqu’ici infligées par la CNIL française.

C’est dès aujourd’hui que les entreprises doivent étudier leur plan de mise en conformité et provisionner pour l’avenir. Disposer d’un plan réaliste et opérationnel permettra de minimiser à la fois les coûts initiaux mais également d’être en mesure de pouvoir prouver et maintenir la mise en conformité du SI, des pratiques et des applications.

Les 5 étapes d’un plan de mise en conformité :

Comprendre les implications de la législation

Cela va sans dire mais il appartient aux entreprises de comprendre les conséquences du nouveau cadre législatif européen sur leurs opérations quotidiennes et récurrentes. Cette première étape est essentielle à l’identification des processus de collecte et de transferts applicables chez elles. L’erreur à ne pas commettre est de minimiser l’impact et le coût. Il faudra s’attendre, au contraire, à d’importantes dépenses, compte tenu des pratiques généralisées de développement et de test qui s’appuyaient jusque-là sur des données non anonymisées.

Auditer et localiser les données sensibles

La deuxième étape consiste à réaliser un audit global de localisation des données personnelles et sensibles. Qui a accès à quoi, où et comment ces données sont-elles recoupées ? Quels sont les points d’achoppement, où sont les risques de violation ? Encore une fois, le temps nécessaire à cette analyse ne doit pas être sous-estimé.

Adapter ses processus aux nouvelles contraintes

Une fois la localisation et l’identification des données et des risques associés réalisées, il devient plus aisé d’introduire à ses processus de traitement existants l’anonymisation de la donnée. Il est également envisageable de créer de nouveaux flux de travail qu’il sera plus facile et plus rapide d’adapter aux exigences à venir de la législation européenne.

Développer une solution conforme aux exigences

En fonction des résultats de l’audit, du niveau préalable de conformité, du business model choisi ou encore de la démarche retenue par l’entreprise, la solution globale définie pourra porter par exemple sur une révision des droits d’accès aux données, sur le choix d’une nouvelle solution de MDM, sur la refonte des clauses contractuelles relatives aux transferts ou (et très certainement) une combinaison de ces différents sujets.

Donner de l’air à la DSI

L’ensemble de ces étapes représente un processus long et fastidieux, dont la réussite repose sur une parfaite maîtrise du cadre législatif. Le délai de deux ans laissé aux entreprises n’est pas de trop au regard des très nombreux paramètres à prendre en compte. Le volume de données, leur interaction complexe, leur qualité et leur intégrité ne sont qu’une étape d’un plan plus général de révision des processus afin de répondre rigoureusement aux obligations européennes.

Les DSI européennes travaillent aujourd’hui, bien malgré elles, à flux tendu. La charge de travail qu’implique le dispositif européen de protection des données personnelles peut être supportée en s’appuyant sur une expertise extérieure, afin de réduire à la fois le risque d’erreur, les délais d’initiation à la législation et donc le coût global.

Cookie	Durée	Description
mautic_device_id	1 year	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id	30 minutes	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur.
mtc_id	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid	session	Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session

Cookie	Durée	Description
YSC	session	Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview	10 minutes	Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat	1 minute	Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
ARRAffinitySameSite	session	No description
attribution_user_id	1 year	No description
cg_uuid	1 year	Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
cilSessionId_e6aa0e1dbf	1 day	No description
cilSessionId_efcc418067	1 day	No description
cilSessionId_ffd7baf9a1	1 day	No description
cookielawinfo-checkbox-others	1 year	No description
PagePeeker		No description
recs_17b347eba0c893c4ff49a469be629e65	past	No description
scid	past	No description
sdx	past	No description
su_sdx	past	No description
su_sid	past	No description
su_user_id	past	No description
thirdparty	1 hour	No description
ubpv	6 months 1 day	No description
ubrs		No description
ubvs	5 months 27 days	No description
ubvt	3 days	No description
UID	2 years	No description

Les rubriques

Alliancy Connect

Contenu

Protection des données personnelles : la réforme communautaire prend les entreprises de court

Suggestion de contenus