Alors que les entreprises américaines étaient initialement réfractaires à l’initiative européenne du RGPD, elles se rendent compte à présent qu’elles auraient tout intérêt à s’y plier rapidement, y compris si elles n’ont que des clients américains. D’abord, parce qu’elles auront gagné un temps d’avance lorsque le même type de loi arrivera sur leur territoire. Ensuite, et surtout, parce que les entreprises qui se plient au RGPD obtiennent dès aujourd’hui un avantage concurrentiel non négligeable sur la scène internationale, y compris sur les marchés uniquement américains.
Les Etats-Unis seront tôt ou tard concernés
Selon les experts en réglementations, les consommateurs préféreront rapidement être les clients de marques qui non seulement sont capables de leur restituer toutes leurs données personnelles, mais qui s’engagent aussi à les effacer intégralement si la demande est formulée. Or, ces qualités sont à l’heure actuelle celles des seules entreprises qui se plient au RGPD. Le non-respect du RGPD représenterait un désavantage commercial tel pour les sociétés qui s’en croyaient dispensées que Michael Chertoff, l’ancien secrétaire au Department of Homeland Security sous Georges Bush, lance depuis cet été un appel aux législateurs de son pays pour qu’ils s’inspirent du règlement européen.
S’il est peu probable que le Congrès américain légifère rapidement au niveau national, les spécialistes s’attendent néanmoins à voir les États prendre peu à peu des initiatives locales. Le premier d’entre eux est la Californie, dont le gouverneur Jerry Brown vient de signer définitivement la loi dite Consumer Privacy Act. Celle-ci, qui oblige les entreprises californiennes à respecter autant qu’en Europe la vie privée des consommateurs, entrera en vigueur en 2020.
Cette décision pourrait être rapidement contagieuse : en 2002, la Californie était déjà le premier état à exiger des entreprises qu’elles déclarent aux autorités les cyberattaques dont elles ont été victimes. Aujourd’hui, cette exigence fait office de législation dans tout le pays.
Le RGPD pose des exigences de gouvernance
Les entreprises les mieux préparées à l’arrivée de telles lois sur le respect de la vie privée des consommateurs sont celles qui ont des pratiques de gouvernance et de cybersécurité éprouvées. En effet, pour se plier à des exigences comme celles du RGPD, il faut savoir répertorier et classer les informations personnelles afin de les protéger. En pratique, il s’agit de pouvoir passer au crible tous les systèmes de fichiers, tous les e-mails, toutes les bases de données, puis déterminer la nature des contenus, identifier les collaborateurs qui possèdent des droits d’accès à ces contenus et, enfin, mettre en place des règles d’autorisation et de rétention appropriées.
Si toutes ces mesures sont déjà en place, effacer sur demande les informations d’un client ne posera aucun problème technique. Si elles ne le sont pas, les entreprises concernées ont tout intérêt à se rapprocher dès maintenant de partenaires experts dans ces domaines. En effet, identifier des informations personnelles parmi des téraoctets de données est tout sauf facile.
| Lire aussi l’article : RGPD/GDPR : 10 sources pour l’apprivoiser !
D’abord, parce que les données à analyser sont modifiées en permanence par l’activité de l’entreprise. Ensuite, parce que les applications multiplient les enregistrements susceptibles d’être considérés comme relevant de la vie privée. On ne parle plus seulement de chercher des noms et des adresses, il faut aussi songer aux traces qui contiennent des adresses IP, si ce n’est des détails biographiques. Le RGPD recense ainsi 28 types d’informations.
Autre problème à résoudre : il ne suffit pas de savoir quelles données existent, il faut aussi pouvoir lister et effacer d’un coup toutes celles qui concernent un client en particulier. Pour mener une telle action, il est nécessaire de mettre en place un système d’index.
Trois mesures techniques à prendre pour être compatible avec le RGPD
Sur le plan technique, trois solutions existent pour rendre dès aujourd’hui une entreprise compatible avec les exigences d’une loi comme le RGPD.
Tout d’abord, des bibliothèques de motifs de recherche pour les données à caractère personnel sont disponibles. Elles ont été créées pour respecter les exigences du RGPD et savent par exemple identifier jusqu’à des plaques minéralogiques ou des numéros de passeport. Il est à noter que lancer des recherches avec des expressions régulières ne suffira pas à retrouver toutes les données personnelles. Il faut s’armer d’algorithmes capables de déterminer la nature d’une information selon le contexte, sans quoi tous les nombres de dix chiffres commençant par 06 seront vus comme des numéros de téléphone portable, par exemple.
Ensuite, si de nombreuses solutions d’index des données existent, attention à ne choisir que celles prévues pour un scan d’informations en perpétuelle évolution. Les solutions qui doivent recommencer régulièrement toute l’indexation, plutôt que d’enregistrer seulement les modifications, poseront de graves problèmes de performance au SI tout entier.
Enfin, découvrir des données sensibles va invariablement poser la question de savoir qui les a stockées à tel endroit. Et la probabilité est forte de découvrir qu’on l’ignore puisque les données sont stockées sur un serveur accessible à de nombreuses personnes, chacune présentant le risque d’en faire un mauvais usage. L’indexation des données privées doit donc systématiquement s’accompagner d’une meilleure sécurisation des accès.