Êtes-vous prêts pour la directive européenne pour la protection des données à caractère personnel ?

Normes et Réglementation
 Êtes-vous prêts pour la directive européenne pour la protection des données à caractère personnel ?

Les ministres de la justice de l’Union européenne ont clôturé, lundi à Luxembourg, trois ans et demi de discussions sur la protection des données personnelles. Le fameux serpent de mer de la directive européenne en matière de « privacy » semble toucher à sa fin. Tout le monde était d’accord sur le fait que les textes en vigueur n’étaient plus adaptés. Malgré cela, la réforme et les négociations avec 28 pays membres, et bien plus encore de lobbies, ont pris beaucoup (trop ?) de temps.

Mais soyons optimistes ! Le conseil européen a appelé à adopter cette réforme en 2015, comme en témoigne le communiqué de presse officiel européen. Il ne reste plus que quelques mois pour gommer les derniers désaccords et adopter une position commune. Il semblerait que la sanction, mesure phare de la réforme, soit toujours présente – avec un montant maintenu à 2% du chiffre d’affaire annuel ou 1 million d’euros. On parle également d’un guichet unique, seul et unique point de contact des entreprises et des citoyens. Voici une mesure tout aussi intéressante, mais on peut se demander comment tout cela va vivre sur le terrain. Les autorités nationales, dont la CNIL, vont-elles jouer le jeu ? Quelle gouvernance entre ces autorités et l’Union Européenne ? Comment orchestrer l’opération avec 18 autres institutions nationales lorsqu’on peine à faire appliquer le droit local et à encadrer ce qui doit l’être ?

Bref, si les bonnes volontés sont là, il reste encore du travail. Laissons les organes politiques et gouvernementaux faire leur travail… Et attelons-nous aux nôtres.

Combien de RSSI, de Correspondant Informations & Libertés ou autres responsables dans les organisations se sentent vraiment prêts à voir le texte s’officialiser ? Avez-vous implémenté le fameux « privacy by design » ? Mais qui sera le Data Protection Officer (DPO) ? Sera-t-il interne ou externe ? Dans un groupe d’envergure internationale, quels relais pour faire vivre ces démarches et assister le DPO ? Autant de questions qui sont souvent encore sans réponse pour bon nombre d’entreprises.

Alors en attendant l’arrivée officielle du règlement européen, ne profiterait-on pas de l’été pour faire le point sur les données personnelles ? Obligation réglementaire ou non, il y a quelques bonnes pratiques qui feront du bien à tous, comme renforcer le processus de suivi et de remontée des fuites de données et responsabiliser chaque chef de projet sur la question du respect de la vie privée…

Benjamin Leroux, Innovation & Marketing, Advens