Après un mouvement déjà observé en 2020, les réglementations sur la confidentialité des données et les obligations des entreprises concernant leur gestion, leur transfert et leur sécurité n’ont cessé d’évoluer à travers le monde en 2021. Eric Egea, Responsable de la Sécurité des Systèmes d’Information (RSSI) chez NTT Ltd nous livre son analyse.
Force est de constater que 5 ans après sa publication, le Règlement Général sur la Protection des Données (RGPD) fait des émules bien au-delà des frontières européennes et quelles qu’en soient les raisons (juridiques, protection des citoyens et parfois même géopolitiques), la protection des Données à Caractère Personnel (DCP) est bel et bien devenue une préoccupation mondiale comme le démontre la carte interactive publiée par la Commission Nationale Informatique et Liberté (CNIL) sur le sujet.
En 2021, malgré quelques tentatives avortées (ex. Floride, Thaïlande), des lois ont vu le jour, des propositions de loi ont été présentées, des modifications de textes existants ont été adoptées afin d’encadrer la protection des DCP. Parmi les nombreux exemples de pays qui ont été impliqués dans cette émancipation en 2021, citons le Kenya, l’Ouganda, le Costa Rica, le Panama, l’Arabie Saoudite, le Pakistan, la Biélorussie, la Russie et la Nouvelle-Zélande.
La Chine, en août 2021, s’est également inspirée du RGPD, en adoptant la Loi sur la Protection des Informations Personnelles (PIPL), première du genre dans le pays. Si de nombreuses similitudes avec le RGPD existent, des disparités notablement sont aussi présentes. Il s’agit là d’un exemple de l’un des problèmes majeurs auxquels le monde de l’entreprise doit faire face car ces disparités ne sont pas l’exclusivité de la Chine. L’absence de normes et d’harmonisation internationale sur le sujet, le flux continu de nouvelles législations en matière de confidentialité des données sont autant d’éléments qui soulèvent certaines questions d’ordre politique sur la signification de ces nouvelles règles en termes de droits et libertés individuelles. En y ajoutant les réglementations nationales et sectorielles auxquelles les entreprises doivent se conformer, cela n’est guère surprenant que celles-ci éprouvent des difficultés croissantes à s’y retrouver dans le domaine de la confidentialité des données, surtout lorsqu’il faut pouvoir démontrer leur conformité.
Transferts transfrontaliers des données: Actualisation fin 2022
Au-delà des disparités des textes existants autour du globe, la question des transferts transfrontaliers des DCP se pose particulièrement dans l’Union Européenne (UE), mais elle concerne aussi les entreprises opérant dans des pays extra européens et soumises à des législations comparables. Le 4 juin 2021 suite à l’arrêt Schrems II de la Cour de Justice de l’Union Européenne et à l’invalidation du Privacy Shield et aux recommandations associées du Comité Européen sur la Protection des Données (CEPD), la Commission Européenne a publié de nouvelles Clauses Contractuelles Types (CCT) applicables aux transferts de données personnelles vers des pays n’appartenant pas à l’UE. Depuis le 27 septembre 2021, les anciennes CCT ne sont plus utilisables dans les nouveaux contrats. Si l’Europe a mis un an pour sortir de l’invalidation du Privacy Shield et faire ses propositions, les entreprises ont seulement eu quelques semaines en pleine période estivale pour s’approprier ces nouveaux textes afin de modifier les contrats en cours de négociation avec les conséquences juridiques et financières qu’ils sont susceptibles d’entrainer.
Quant aux transferts transfrontaliers existants se fondant sur les CCT précédentes, ils devront être révisés le 27 décembre 2022. Toute entreprise transférant des données personnelles de citoyens européens en dehors de l’UE doit mettre à jour ses accords d’ici là. Heureusement, l’UE a opté pour une approche modulaire et prévoyante des CCT, s’appuyant sur des cas pratiques afin de guider les entreprises vers une mise en œuvre des mesures appropriées. Il convient cependant de ne pas sous-estimer l’ampleur de la tâche, en particulier pour les multinationales qui peuvent compter des centaines, sinon des milliers d’accords locaux et mondiaux en place avec leurs clients, partenaires et fournisseurs.
Le rôle des instances réglementaires
Un autre sujet récurrent dans les événements et tables rondes du secteur concerne le rôle des instances réglementaires dont les membres, même les plus expérimentés, cherchent encore leurs marques.
L’une des raisons est la rapidité de la transformation numérique, comparée au laps de temps généralement nécessaire à l’élaboration d’une législation. Cependant, les instances réglementaires instaurent également des mesures supplémentaires de gouvernance qui varient d’un pays à l’autre.
Par exemple, en Suisse, le Préposé Fédéral à la protection des données et à l’information n’exige qu’une simple notification des transferts soumis aux garanties applicables, sans autorisation expresse. Les exigences spécifiques pour les transferts transfrontaliers variant suivant les pays, cela pose la question de savoir comment les instances réglementaires prévoient de se comporter, comment vont-elles réagir face au nombre de demandes des entreprises, comment elles pourraient infliger des pénalités en cas d’infraction et comment elles vont découvrir qu’une entreprise a enfreint la législation.
La question est également de savoir quel soutien les instances réglementaires vont apporter aux entreprises, en termes de processus, de ressources humaines et de formation, afin de leur permettre, en particulier dans le cas des multinationales, d’accomplir leurs propres missions avec efficacité.
Se préparer à 2022
Alors que les nouvelles législations commencent à se clarifier, les entreprises réfléchissent aux implications au niveau technique, en matière de systèmes, de chaine d’approvisionnement, de procédures, etc. Le manque de consensus international sur ce sujet est une vraie difficulté même si des tentatives voient le jour comme à travers l’ISO 27701 de l’Organisation Internationale de Normalisation. A l’heure où la souveraineté est plus que jamais un sujet du moment pour les Etats mais aussi pour les entreprises, cette indépendance passe aussi par le contrôle et la maitrise des normes internationales qui ne manqueront pas de voir le jour dans les années à venir. Les entreprises qui participeront à la construction de ces textes auront sans nul doute un temps d’avance sur leurs concurrents.
Pour cela, il est crucial d’identifier les compétences indispensables pour l’entreprise, avec des spécialisations et des postes dédiés, comme celui de responsable des DCP. Aussi les entreprises se tournent vers des organismes professionnels pour pallier leur manque de ressources et de compétences. A titre d’exemple, la CNIL est à l’origine d’une certification et d’un agrément pour les Délégués à la Protection des Données en attendant peut-être bientôt un label européen
À bien des égards, la trajectoire du secteur de la confidentialité des données est très similaire à celle suivie par celui de la sécurité de l’information depuis quelques années et la tension du marché en termes de ressources humaines y est aussi un sujet prégnant. La collaboration avec ces organismes professionnels peut aider les entreprises à offrir des formations et cours d’e-learning en interne, afin de promouvoir une vue d’ensemble de la confidentialité des données et d’améliorer les compétences de leurs collaborateurs grâce à leur participation à des programmes dans ce domaine.
Pour conclure, 2022 va être une année charnière en matière de confidentialité des données. Avec de fortes conséquences potentielles pour leur chaîne de valeur, les entreprises vont devoir redoubler d’efforts pour transformer leur ADN. Elles y réussiront d’autant plus facilement si elles s’investissent dans les textes internationaux régissant les DCP, mais aussi en développant leurs compétences internes sur ces sujets et en instaurant une culture de la confidentialité en leur sein. Un leadership fort sera essentiel pour que les entreprises atténuent ainsi les risques d’infraction et de non-conformité et donc une sanction potentielle.