Quelles entreprises risquent de souffrir du RGPD ?

Bref aperçu du RGPD

Le RGPD est un acronyme pour Règlement Général sur la Protection des Données. Cette initiative du Parlement Européen, du Conseil de l’Union Européenne et de la Commission Européenne vise à renforcer et unifier la protection des données pour tous les individus au sein de l’Union Européenne.

Mais que cela signifie-t-il vraiment pour les entreprises et les consommateurs ?

• Augmentation significative des amendes pour les entreprises qui ne respectent pas les nouvelles réglementations: 20 millions d’euros ou 4% du chiffre d’affaires mondial du groupe.
• Les consommateurs ont le droit d’être oubliés: sur demande, toutes les données concernant un individu doivent être supprimées, si elles ne sont pas essentielles à l’exécution d’un contrat entre l’individu et l’organisation en question, ou si la conservation des données est obligatoire.*
• Les consommateurs ont le droit d’accéder à toutes les données personnelles stockées à leur sujet: cela inclut les données structurées et non structurées, par exemple les e-mails, les exportations de données, etc.*

En substance, le RGPD vise à donner aux individus plus de pouvoir sur leurs données personnelles, en augmentant la responsabilité des entreprises qui détiennent des données personnelles et en augmentant l’application et la taille des pénalités pour la mauvaise gestion des données. Une grande partie de la législation RGPD est similaire à la loi sur la protection des données de 1998, mais le principal facteur de différenciation réside dans la vigilance accrue et le pouvoir des agences gouvernementales des états européens à appliquer les lois et distribuer des pénalités.

* dans les 40 jours suivant la demande (en vertu de la loi sur la protection des données)

Quels types d’entreprises sont les plus à risque ?

La non préparée

Les entreprises qui prennent peu ou pas de temps pour réfléchir à la gestion du cycle de vie de leurs informations risquent de se faire prendre. L’ILM (Information Lifecycle Management) peut être simple à gérer pour les petites entreprises, mais deviendra de plus en plus complexe avec le temps sans l’infrastructure adéquate pour indexer, gérer et supprimer les données de manière appropriée. Ceux qui n’ont pas suivi et analysé leurs systèmes d’entreprise pour les champs de données personnelles «à risque» risquent également de ne pas pouvoir répondre pleinement aux demandes de droit à l’oubli et de droit d’accès.

Les régulateurs sont susceptibles de punir sévèrement les entreprises qui ne peuvent montrer aucune preuve d’un effort conscient pour gérer et protéger les données de leurs clients.

La téméraire

Ces entreprises ne traitent pas les données à leur disposition de manière appropriée, or, vous devriez traiter les données de vos clients et de vos collaborateurs comme vous souhaiteriez que l’on traite les vôtres.

Demander la permission de recueillir des données sur les clients n’a jamais été facultatif et sera bientôt plus rigoureusement surveillé. Les entreprises qui ne réfléchissent pas avant de partager des données personnelles avec des tiers, en particulier sans la permission de l’employé, du client ou du fournisseur en question, risquent de subir de graves répercussions.

Cette demande croissante d’expertise en cyber-sécurtié s’explique : l’ère des documents papiers est en déclin et, dans un futur (très) proche, tous les documents commerciaux seront stockés virtuellement. Les entreprises doivent avoir confiance dans la sécurité de leurs systèmes dans ce nouveau monde numérique.

Celle qui ne réagit pas

Quant à celles qui n’ont aucun plan pour gérer les demandes de droit à l’oubli ou de droit d’accès, elles auront du mal à répondre aux multiples demandes. Les données sur un individu peuvent facilement se propager à travers les systèmes d’une organisation, et il peut devenir compliqué d’accéder à toutes les données sur un individu dans tout le domaine informatique.

Plusieurs demandes peuvent interrompre le « business as usual » et entraîner une perte de ressources si aucun processus efficace n’est en place. Être submergé par les demandes pourrait pousser le temps de réponse au-delà du quota requis de 40 jours et laisser l’entreprise vulnérable aux pénalités imposées par les régulateurs.

Les organisations doivent apprendre à répondre rapidement aux demandes des clients et être en mesure de leur assurer qu’elles signalent, suppriment et anonymisent les données avec précision. Les événements inattendus, tels que les violations de données, peuvent causer des inquiétudes importantes pour les clients et/ou (ex-)employés. Ces types d’événements peuvent même entraîner une vague de demandes entrantes, laissant les entreprises débordées.

La planification et la préparation de ces types d’événements permettront à votre organisation d’économiser beaucoup d’argent et de protéger votre réputation.

Votre organisation peut se préparer par:

• une analyse les risques potentiels et la conception de plans d’intervention détaillés pour parer aux problèmes potentiels.
• le benchmarking des temps de réponse et test de stress des processus pour les scénarios du «pire des cas».

Pour en savoir plus

N’hésitez pas à visionner nos webinars RGPD, du plus généraliste au plus spécifique :

• Les principaux défis du RGPD pour les utilisateurs SAP (EN)
• Mettre en place une cartographie des données efficace (EN)
• Gestion du cycle de vie des informations (EN)
• Etablir un cadre de gouvernance : Comment SAP GRC accélère votre conformité (EN)