Un rappel des accomplissements et des défis à venir pour les entreprises traitant des données à caractère personnel
© Jean-Christophe Lairie - publié le 22 mai 2023
Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en vigueur, apportant des changements majeurs dans la manière dont les entreprises traitent les données à caractère personnel. Alors que nous célébrons cet anniversaire, revenons sur certaines avancées mais aussi sur quelques défis auxquels restent confrontées les organismes traitant de données à caractère personnel.
Comment le RGPD a renforcé les droits des individus
L'un des principaux objectifs du RGPD était de renforcer les droits des individus en matière de protection des données. Les entreprises sont désormais sensibilisées et pratiquent couramment un recueil du consentement clair et explicite des personnes pour le traitement de leurs données personnelles.
Mais si dans leur grande majorité, elles ont revu leurs pratiques de collecte et de gestion des données, la simplicité du recueil mais également la clarté des informations fournies sur le devenir des données recueillies reste un défi. Les individus, de leur côté, ont acquis une conscience accrue de leurs droits.
Par ailleurs, une autre exigence du RGPD reste à mettre en œuvre dans encore de nombreux cas avec la question de la fin du traitement : qu’adviennent les données à ce moment ? Suppression ? Conservation « sauvage » ou « archivage maitrisé » ? Restitution ? De nombreux manquements semblent encore présents sur ce point.
De fait, la méfiance reste donc importante entre les personnes concernées et les entreprises.
Responsabilités techniques
Les organisations ont été sommés de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données personnelles : réalisation d'évaluations d'impact sur la protection des données (EIPD), désignation d’un délégué à la protection des données (DPD) chargé de veiller à la conformité au RGPD, mise en œuvre de processus physiques, organisationnels et technologiques souvent complexes pour des organisations non spécialistes du numérique.
De la même manière que pour la collecte, ces obligations et actions menées sont difficilement communicables aux parties prenantes ; il est faut disposer de connaissances techniques en matière de cybersécurité et c’est un vrai défi
Défis persistants
Bien que le RGPD ait apporté des changements significatifs, de nombreux défis subsistent pour les entreprises. La conformité continue au RGPD est un processus en constante évolution et les organisations doivent s'adapter aux nouvelles technologies comme au passage à marche forcée vers le tout numérique. La question de la gouvernance des données reste complexe, notamment en ce qui concerne la conservation des données, les transferts de données internationaux et les relations avec les sous-traitants.
L'avenir de la protection des données
Alors que nous célébrons les 5 ans du RGPD, la législation semble évoluer vers des objectifs plus techniques : NIS 2, notamment viendra fournir aux entreprises de nouvelles contraintes mais aussi de nouveaux guides concernant la protection des données, pour faire face notamment à l’explosion de la cybercriminalité.
Ainsi, les personnes concernées auront ainsi une lecture plus simple concernant le traitement de leurs données : 1. la conformité aux RGPD améliore leurs droits, 2. la conformité à NIS 2 améliore leur confiance dans la confidentialité et la sécurité des données qu’elles confient aux organismes.
Transparence et confiance
Nous avons conscience que pour bénéficier de services personnalisés, optimiser notre consommation, améliorer notre santé et mener de nombreuses activités de la vie quotidienne, nous devons partager une certaine quantité de données avec nos « fournisseurs » afin qu'ils puissent adapter leurs offres à nos besoins.
Cependant, sans confiance et transparence, il est compréhensible que nous ayons des réticences à le faire.
Transparence et confiance
Pour les 5 prochaines années, les organismes devront donc continuer à améliorer les processus mis en œuvre depuis l’avènement du RGPD, les perfectionner et augmenter encore la transparence de leurs processus. La régulation, avec l’adéquation de nouvelles normes contraignantes en rapport avec les attentes des usagers et la situation technique et politique de l’environnement, et l’assurance de leur respect grâce à la validation par le biais d’institutions publiques ayant la confiance des citoyens reste certainement le meilleur de convaincre les usagers de confier leurs données pour leur plus grand bénéfices, à eux.
Lire également : RGPD : 5 ans, déjà ! - Actu-Juridique
Notre progiciel de gestion de la conformité, DL Register, permet aux équipes en charge de vos projets :
de gagner un temps précieux tout en restant rigoureux et exhaustif grâce aux critères de contrôles, aux livrables modèles et aux kits d'audit
d'être plus efficace et d'engager mieux chaque acteur du projet avec la gestion centralisée des informations et la fourniture de nombreux outils
d'intégrer les parties prenantes et de valoriser vos actions questionnaires publics et gestion de comptes tiers ; diffusion automatisée des résultats obtenus