Protection des données: ce qui va changer...

Le projet est controversé tant les exigences sont élevées et les pénalités sévères. Pour les spécialistes, au contraire, la nouvelle législation européenne sur la protection des données est une excellente nouvelle: l’absence d’une politique de gestion des informations solide et en conformité légale étant inexcusable.

Cette nouvelle législation, présentée par Viviane Reding, vice-présidente de la Commission européenne et commissaire à la Justice, remplacera la Directive Européenne de Protection des Données 95/46, une composante majeure de la Loi européenne sur la Vie Privée et les Droits de l’Homme, qui sert de référence aux entreprises depuis treize ans. En résumé, la nouvelle législation réduira, pour de nombreuses sociétés les exigences administratives de conformité; en revanche, elle imposera de plus lourdes contraintes en matière de protection, reconnaissance et communication de leurs violations de données. De surcroît, la réglementation infligera des pénalités plus sévères aux sociétés qui failliront aux exigences légales.

«De nombreuses entreprises de toute taille sont très en-deçà de ce qui est requis pour gérer de façon responsable leurs informations, estime Christian Toon, Head of Information Security, Iron Moutain. De nos jours, dans notre environnement professionnel de plus en plus surveillé, l’absence d’une politique de gestion des informations solide et en conformité légale est tout simplement inexcusable. S’assurer que les informations concernant les salariés et les clients sont protégées devrait être une pratique courante, et non une réaction à une nouvelle législation. Les entreprises qui ne savent pas par où commencer devraient étudier les recommandations ISO 27002...»

Le projet de la proposition européenne, révélée voici peu, souligne trois exigences principales qui devraient, si elles sont intégrées dans la réglementation finale, avoir un impact à long terme sur la vie de nombreuses entreprises européennes.

La Commission européenne recommande que les autorités de protection des données concernées et toutes les personnes touchées devront être prévenues sous 24 heures d’une violation de sécurité des données, y compris s’il s’agit d’une destruction non autorisée ou d’une perte de données; les autorités de protection des données doivent être averties, même en l’absence de risque pour les données.

«La grande question est de savoir si la communauté professionnelle sera d’accord ou capable de s’auto-discipliner. Si ce n’est le cas, les entreprises pourraient se voir confrontées à des inspections régulières des administrations légales compétentes. La définition de la ‘violation’ devra être clarifiée. Doit-elle dépendre, par exemple, du nombre d’enregistrements ou de documents affectés? Ou du type d’informations piratées? Toujours est-il que les entreprises devraient se préparer aux deux cas de figures.»

Les responsables de la sûreté des données devront être obligatoires pour toutes les instances publiques et toutes les entreprises de plus de 250 salariés.

«Cela va générer des coûts qui n’ont pas été prévus. Cela veut dire que les entreprises auraient tout intérêt à préempter la législation en intégrant ces coûts. Nommer un responsable de la sûreté des données est d’ores et déjà obligatoire en Allemagne. De nombreuses entreprises bénéficient de la possibilité de confier cette responsabilité supplémentaire à un salarié disposant de la qualification requise. Disposer d’une personne spécifique pour s’occuper de la protection des données est, de toute façon, une bonne pratique professionnelle.»

Aux termes de la proposition de loi, les autorités compétentes auraient le pouvoir d’infliger des amendes allant jusqu’à un million d’EUR ou, dans le cas d’une société, jusqu’à 5% du chiffre d’affaires mondial annuel dans le cas de manquement à la législation.

«5% du chiffre d’affaires mondial est une somme énorme et potentiellement dévastatrice pour la plupart des entreprises. Que l’Europe soit prête à autoriser un tel niveau d’amende, montre bien à quel point la protection des données est prise au sérieux. Les sociétés ne doivent pas s’affoler, juste se préparer. Disposer de plans pour stocker et accéder à leurs données, former leurs salariés sont de vrais premiers pas. C’est aller dans le bon sens et, peut-être bientôt, dans le sens de la loi.»