La nouvelle législation européenne sur la protection des données va créer un ensemble de règles uniformes à travers l’Union. Et imposer de nouvelles contraintes aux entreprises en matière de cybersécurité.
Volontairement ou non, les entreprises sont devenues de véritables centrales de renseignement. Sur leurs clients comme sur leurs collaborateurs, elles collectent toutes sortes d’informations notamment privées. Et ce, sans grandes contraintes ou contreparties. Jusqu’à présent, la loi Informatique et libertés du 6 janvier 1978 servait de cadre juridique au traitement des données personnelles sur Internet. Selon l’article 34, « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ». Un article qui laisse trop de place à l’interprétation puisqu’il ne s’agit que d’une obligation de moyens.
Mais les choses vont changer : d’ici mai 2018, autant dire demain, les entreprises pourront être déclarées responsables en cas de perte ou de vol des informations privées qu’elles sont censées protéger. L’Union européenne a en effet décidé d’unifier la réglementation liée au traitement des données personnelles : fin avril 2016, un règlement sur la sécurité des réseaux et des systèmes d’information a vu le jour. Objectif ? Créer un ensemble unique de règles mais aussi donner aux citoyens plus de contrôle et plus de sécurité sur leurs informations privées. Conséquences ? Les entreprises vont donc devoir rapidement mieux se prémunir contre la cybercriminalité et le vol de données personnelles de leurs utilisateurs et de leurs personnels.
Cybersécurité et droit à l’oubli, la fin du consentement présumé…
Outre le droit à l’oubli numérique ou un droit d’accès aux données pour les usagers, le règlement européen signe la fin du consentement présumé. La loi exige désormais de la part des utilisateurs un « accord clair et sans ambiguïté en amont pour le traitement de ses données personnelles », explique Laurent Lebar, responsable technique Expertise comptable et Conseil au sein de France Défi. « Le règlement prévoit aussi la désignation, au sein de toute entreprise, qui traite des données personnelles, d’un délégué à la protection des données. Il peut s’agir d’un spécialiste des nouvelles technologies ou d’un spécialiste juridique, ce qui peut s’avérer difficile à mettre en place dans les petites entreprises », continue-t-il.
Protection des données : le renforcement de la responsabilité des entreprises
Alors en cas de non-respect de la législation, que risquent ces entreprises ? « Ca peut leur coûter cher. Elles s’exposent à payer de fortes amendes allant jusqu’à 4% de leur chiffre d’affaires mondial ou 20 millions d’euros. Un droit à la réparation du préjudice est également prévu pour les usagers », souligne Laurent Lebar. Celles-ci doivent donc prendre des mesures afin de se prémunir efficacement contre le vol de données. Et la meilleure des défenses reste la prévention. Pour Laurent Lebar, « plusieurs pistes sont envisageables : la généralisation d’un registre de traitement des données personnelles, la pseudonymisation (remplacement d’un nom par un pseudonyme, ndlr), une charte de bonne conduite, des campagnes de sensibilisation auprès de ses collaborateurs ou des changements de clauses contractuelles. Les entreprises doivent s’y préparer rapidement ». Rapidement en effet. Les États membres ont deux ans pour transposer les dispositions de la directive sur la sécurité des réseaux et des systèmes d’information dans leur législation nationale, soit avant le 25 mai 2018.