Cet post est grandement inspriré de ma traduction de l'article de la BBC NEWS: https://www.bbc.com/news/technology-43657546
Le mois prochain, une nouvelle loi rendra les conséquences de la non-protection des données personnelles pour les banques et autres entités bien plus sérieuses.
Le règlement général sur la protection des données (GDPR), qui entrera en vigueur le 25 mai, sera le plus grand bouleversement de la confidentialité des données dans 20 ans. Une série de violations récentes et très médiatisées a attiré l'attention du public sur la question de la sécurité des données.
Un abus a fait surface le mois dernier démontrant que le cabinet de conseil politique Cambridge Analytica a utilisé des données recueillies auprès de millions d'utilisateurs de Facebook sans leur consentement. C'est un appel à la sécurité des données. Les gens réalisent de plus en plus que leurs données personnelles ne sont pas seulement précieuses pour eux, mais extrêmement précieuses pour les autres.
La croissance de la technologie et de la communication électronique signifie que chaque jour, presque chaque heure, nous partageons nos données personnelles avec un grand nombre d'organisations, y compris les magasins, les hôpitaux, les banques et les organismes de bienfaisance. Mais ces données finissent souvent entre les mains des sociétés de marketing, des analystes et des fraudeurs.
La loi sur la protection des données est maintenant sur le point de rattraper les changements technologiques. "GDPR est conçu pour incarner un régime de protection des données adapté à l'ère numérique moderne", explique Anya Proops QC, spécialiste en droit de la protection des données. « Elle vise à redonner le pouvoir aux individus en forçant ceux qui traitent nos données à être à la fois plus transparents dans leurs activités de traitement et à répondre aux demandes de traitement invitant à la vie privée. »
Parmi les nombreux changements ce sont ces mesures qui ressortent :
• Plus rapide et moins cher de savoir quelles données une organisation détient sur vous
• Obligation de signaler les violations de la sécurité des données au commissaire à l'information, plutôt que de se contenter de « bonnes pratiques »
• Les infractions sont sanctionnées par des amendes d'un montant allant de 500 000 à environ 17,5 millions de livres sterling ou 4% du chiffre d'affaires, en prenant l’amande la plus élevé
"C'est une législation qui peut littéralement couler les organisations qui ne respectent pas nos droits en matière de confidentialité des données", a déclaré Mme Proops.
SÉCURITÉ
Les organisations devront revoir leurs systèmes et la façon dont les gens travaillent. Ils devront se concentrer sur la sécurité technique, notamment l'utilisation du chiffrement et l'application robuste de correctifs de sécurité. Mais ils devront également utiliser des techniques de minimisation des données, y compris la pseudonymisation (une technique qui remplace certains identifiants par des entrées fictives pour protéger la vie privée des personnes).
S'assurer que les membres du personnel sont fiables sera également une priorité. Prendre des données personnelles "hors site" sur des appareils mobiles et des clés USB présente des risques particuliers. Et si de tels dispositifs ne sont pas cryptés, ça peut immédiatement exposer les organisations à une amende.
E-MAILS INDÉSIRABLES
Nous avons tous eu ces courriels indésirables, des publicités ciblées agaçantes et des appels téléphoniques d'un inconnu qui, d'une manière ou d'une autre, sait que nous avons été impliqués dans un accident de voiture. Ceux-ci proviennent d'entreprises qui ont réussi à obtenir nos données personnelles à notre insu ou sans notre consentement.
Il est interdit depuis longtemps que de telles communications soient envoyées sans notre consentement. Mais GDPR resserre considérablement les règles. Le consentement doit être donné librement, spécifiquement, de façon informée et sans ambiguïté. Il ne peut pas être enterré dans de longs termes et conditions.
Cela rend beaucoup plus difficile pour les spécialistes du marketing d'établir qu'ils ont les autorisations requises, ce qui explique pourquoi votre boîte de réception a probablement été jonchée récemment d'e-mails demandant votre consentement pour continuer à recevoir des messages.
Oh, et il doit être aussi facile de retirer son consentement que de le donner.
PROTECTEURS DE DONNÉES
La plupart des autorités publiques et des organisations qui surveillent et suivent les comportements doivent désigner un responsable de la protection des données.
Les tâches des OPH incluront le contrôle du respect de la loi, la formation du personnel et la réalisation d'audits internes. Ils seront également le premier point de contact pour les autorités de surveillance et pour les personnes dont les données sont traitées, y compris les clients et les employés. Ils doivent avoir les ressources nécessaires pour faire leur travail, ne peuvent être licenciés pour le faire et doivent avoir un accès direct au plus haut niveau de gestion.
POLICE DE LA LOI
Le chien de garde responsable de tout cela au Royaume-Uni sera la commissaire à l'information Elizabeth Denham.
« Nous aurons plus de pouvoirs pour empêcher les entreprises de traiter les données, mais nous n'intervenons que dans les cas de dommages graves et durables aux individus », a-t-elle expliqué.
"Ce que nous donne cette nouvelle puissance d'affinage, c'est notre capacité à nous attaquer à des entreprises plus grandes, globales et parfois multinationales, où l'ancienne amende de 500 000 livres sterling ne serait qu'un changement de poche".
Elle a ajouté qu'elle a accepté que certaines entreprises auront besoin de temps pour se conformer pleinement.
"La première chose que nous allons examiner sont les mesures prises pour entreprendre le nouveau régime de conformité", a-t-elle ajouté.
"Nous n'allons pas regarder la perfection, nous allons chercher l'engagement."
Selon elle, de lourdes amendes seront réservées aux cas les plus graves lorsqu'une entreprise refuse de s'y conformer volontairement.
EFFET GLOBAL ?
Les entreprises seront tenues d'informer clairement les individus des raisons pour lesquelles ils collectent leurs données personnelles, de la manière dont elles seront utilisées et avec qui elles seront partagées. Tout cela signifie que le GDPR devrait rendre nos données personnelles plus sûres et moins facilement obtenues par ceux que nous ne voulons pas.
Et oubliez l'idée que tout cela pourrait devenir théorique après le Brexit. Bien que le GDPR soit une loi de l'UE, le gouvernement a clairement indiqué que le Royaume-Uni resterait inscrit.
Il y a probablement deux raisons à cela :
• Premièrement, si le Royaume-Uni diluait ses lois sur la protection des données après le Brexit, cela pourrait amener d'autres Européens à considérer le pays comme un État paria, ce qui aurait un impact sur le commerce.
• Deuxièmement, dans l'ère actuelle de la protection de la vie privée, il est peu probable que l'opinion publique soit trop encline à diluer les protections du GDPR.
