Ces derniers mois, on a beaucoup parlé dans les conseils d'administration et dans les médias de la nouvelle réglementation sur la confidentialité des données, connue sous le nom de GDPR, et de l'impact qu'elle aura sur les entreprises.

Le nouveau règlement entrera en vigueur dans toute l'Union européenne (UE) le 25 mai. Bien qu'il soit piloté par l'UE, son impact se fera sentir bien au-delà de l'Europe et touchera toute organisation qui collecte ou traite des données relatives à un résident de l'UE. Les entreprises s'empressent maintenant d'évaluer leurs vulnérabilités, car la non-conformité peut entraîner des pénalités totalisant 4 % du chiffre d'affaires mondial d'une organisation. Avant d'examiner les effets du GDPR, il convient de définir ce qu'il est.

Tout d'abord, GDPR signifie General Data Protection Regulation (règlement général sur la protection des données). Ce règlement vise à harmoniser et à normaliser les diverses lois sur la protection de la vie privée qui ont généralement été appliquées et interprétées par les différents États membres de l'UE.

Les pays européens. Le principal objectif du règlement est de protéger les données personnelles des individus et des consommateurs.

Le règlement s'applique à toute organisation qui collecte des données personnelles sur les résidents de l'UE et se concentre sur la manière dont ces données sont traitées, gérées et utilisées. Le règlement définit les données à caractère personnel comme toute information relative à une personne, qu'elle soit liée à sa vie privée, professionnelle ou publique. Il peut s'agir d'un nom, d'une adresse personnelle, d'une photo, d'une adresse électronique, de coordonnées bancaires, de publications sur des sites de réseaux sociaux, d'informations médicales ou de l'adresse IP d'un ordinateur. Dans le cadre de la vidéosurveillance, les données à caractère personnel sont définies comme toute information pouvant être utilisée pour identifier une personne.

Toute organisation qui utilise la vidéosurveillance pour sécuriser ses propriétés, protéger ses biens ou exploiter la vidéo pour collecter des données sera profondément affectée par ces réglementations. Du point de vue de l'utilisateur, les services de sécurité et d'informatique doivent mettre en œuvre plusieurs nouvelles mesures. Il s'agit notamment de

  • Respecter les restrictions relatives à la durée de stockage des données vidéo.
  • Marquer clairement l'emplacement des caméras de surveillance.
  • Masquage de l'identité des personnes dans les vidéos enregistrées par des caméras placées dans des lieux publics.
  • Conserver des traces écrites du fonctionnement du système de caméras de l'organisation et être en mesure de fournir des informations sur la méthode de traitement des données.
  • Sécuriser de manière adéquate le fonctionnement du système de caméras et les enregistrements stockés contre toute utilisation non autorisée.
  • Signaler toute violation ou fuite de données dans les 72 heures au bureau de la protection des personnes, et être en mesure de démontrer que les procédures ont été suivies.
  • Les organisations doivent également nommer un délégué à la protection des données, chargé de comprendre le règlement et d'en assurer la conformité.

Bien que l'impact total de cette réglementation d'envergure n'ait pas encore été déterminé, les organisations du monde entier s'emploient désormais à revoir leurs processus de saisie et de traitement des données et à identifier de manière proactive toute violation potentielle de la conformité.

L'application étendue du GDPR aura sans aucun doute un impact significatif sur les entreprises qui collectent des données, ainsi que sur les fournisseurs qui mettent à disposition les plateformes.

Par exemple, toute banque ou tout détaillant basé aux États-Unis et exerçant des activités en Europe devra désormais s'assurer que la gestion des données de ses clients européens est conforme à la réglementation européenne.

Alors que le pendule s'éloigne du développement de plateformes conçues pour capturer autant de données personnelles que possible - et de la mise en corrélation de diverses sources de données dans le but exprès de cibler des individus à des fins de marketing, de politique ou de sécurité - l'accent est désormais mis sur les outils qui rendent les données anonymes. Du point de vue du fabricant, la conception de base de son logiciel, y compris les capacités de cryptage et de séparation des données, deviendra essentielle. La flexibilité en ce qui concerne les périodes de conservation et les fonctions de recherche personnalisées sera également essentielle pour garantir la conformité avec le règlement.

Le consensus général est que les régulateurs ne s'attendront pas à une conformité à 100 % dès le départ. Pour de nombreuses entreprises, le GDPR les obligera à modifier leur mode de fonctionnement et à effectuer des mises à niveau coûteuses. L'essentiel sera de pouvoir démontrer aux autorités que des mesures sont prises pour assurer une conformité totale.

À l'heure où j'écris ces lignes, le monde a récemment appris que Cambridge Analytica avait accédé à des informations personnelles récoltées auprès de plus de 50 millions de profils Facebook dans le but de mener des campagnes politiques ciblées.

Reste à savoir quel sera l'impact de cette révélation sur la protection de la vie privée. Alors que l'Europe se prépare à adopter des lois de plus en plus restrictives en matière de confidentialité des données, il sera intéressant de voir si les États-Unis et d'autres pays suivront le mouvement. Je vous invite tous à vous renseigner sur le GDPR et sur l'impact potentiel qu'il aura sur votre organisation.

Quelle que soit la direction prise, les clients et partenaires de March Networkspeuvent être assurés que nous suivons de près l'évolution de la situation et que nous déployons les ressources nécessaires pour veiller à ce que notre technologie s'adapte à un monde en mutation.

Peter Strom,
Président et directeur général,
March Networks