Dans le sillage du scandale Cambridge Analytica/Facebook (où 87 millions de données d’utilisateurs ont été acquises à des fins politiques), les données personnelles sont à nouveau devenues un atout précieux aux yeux des médias. Et avec l’application du RGPD prévue dans un mois environ, il est temps de préciser qui peut accéder aux informations personnelles et à quelles fins.
Aujourd’hui, il n’est pas rare de recevoir un e-mail de la part d’entreprises dont on n’a jamais entendu parler, qui ont manifestement obtenu notre nom et nos données de la part d’autres entreprises – les extracteurs de données personnelles ou les courtiers de données, comme on les appelle. Ces sujets sont plus agaçants que préjudiciables.
Mais… et si les courtiers de données vendaient ces informations aux universités, hôpitaux ou agences de recrutement par exemple ? Cela pourrait conduire au refus d’appliquer un traitement médical, à la perte d’une opportunité d’emploi ou à l’échec de la participation à un programme éducatif parce que ces institutions ont obtenu des informations indiquant que telle personne ne sera pas en mesure de payer ou qu’elle figure sur une liste d’usagers de drogues. C’est ici que la manipulation des informations personnelles devient préjudiciable.
QUI COLLECTE VOS DONNÉES PERSONNELLES ?
Le monde de la vente des données personnelles est longtemps resté secret. Et très lucratif. Certains comparent même les données personnelles au « nouveau pétrole », considérant que la négociation de ces informations peut rapporter gros.
Selon l’article publié par le magazine Newsweek, le nombre attendu d’entreprises achetant et vendant des informations personnelles aux États-Unis se situe entre 2 500 et 4 000. Cependant, l’usage de ces données ne fait l’objet d’aucune statistique.
Une tribune publiée par CNN a récemment déclaré que le capitalisme de surveillance, assuré par des entreprises comme Equifax (qui faisait l’actualité l’année dernière dans le cadre d’une cyberattaque importante), fonctionne grâce à des entreprises comme Google et Facebook. Si une personne reçoit un service sans verser d’argent en contrepartie, il est certain qu’elle le paie dans une autre devise lorsqu’elle accepte les conditions générales.
LA RESPONSABILITÉ DES ENTREPRISES COLLECTANT DES DONNÉES PERSONNELLES
Les géants de la technologie ne sont pas seuls à collecter des données personnelles, toutes les entreprises ayant une base de clients le font. Quelle que soit sa taille, une entreprise qui recueille des informations personnelles doit assumer ses responsabilités. Il n’y a ni débat ni argumentation à ce sujet.
La question la plus importante consiste à savoir ce qu’une entreprise peut faire pour respecter la réglementation relative au respect de la confidentialité. Il faut comprendre que les données personnelles représentent un actif, et en même temps un passif. Le RGPD peut être considéré comme un remède au recueil des données personnelles lucratif, parce que désormais, de lourdes amendes seront imposées si les données personnelles ne sont pas traitées correctement.
Les petites infractions pourraient entraîner des amendes allant jusqu’à 2 % (ou 10 millions d’euros) du chiffre d’affaires mondial d’une entreprise. Les infractions plus importantes aux conséquences plus graves peuvent entraîner des amendes allant jusqu’à 4 % (ou 20 millions d’euros) du chiffre d’affaires mondial. De cette manière, les entreprises craignent de garder des données personnelles confidentielles.
CONFIDENTIALITÉ DES DONNÉES PERSONNELLES AUX ÉTATS-UNIS PAR RAPPORT À L’EUROPE
Comme KPMG le décrit, le RGPD n’est pas un « exercice où il suffit de cocher des cases ». Pour garantir la sécurité des informations confidentielles, il est important de savoir où se situent les sociétés et les serveurs. Tout d’abord, les entreprises américaines et européennes n’adoptent pas le même état d’esprit. Deuxièmement, les réglementations sont différentes sur les deux continents.
Avec l’affirmation selon laquelle la vie privée et la protection des données sont des droits fondamentaux, l’Union européenne a décidé de s’assurer que ses quelques 510 millions de citoyens profiteront désormais d’un même cadre juridique et numérique. Par conséquent, toute personne travaillant avec des entreprises qui conservent des informations sur les citoyens de l’Union européenne doit désormais s’y conformer.
Selon le RGPD, le transfert de données à un tiers situé en dehors de l’UE ne disposant pas des normes de protection des données adéquates n’est autorisé que dans des cas exceptionnels. Par conséquent, il est crucial qu’un serveur soit situé en Europe (ou dans l’un des 11 autres pays répondant aux normes de l’UE).
RGPD : Où en sommes-nous un an après ?
Le RGPD, qui est entré en vigueur le 25 mai 2018, est axé sur la permission et la transparence. Le Règlement général sur la protection des données exige que les entreprises s’y conforment, ce qui ne leur laisse plus le droit de traiter les données des utilisateurs européens comme elles le souhaitent. Le RGPD impose des obligations à la charge des responsables de traitement, les forçant à expliquer aux personnes quelles données personnelles ils visent à collecter et pourquoi.
Cette réglementation est censée aider les utilisateurs à mieux comprendre la façon dont ils sont interrogés en ligne en mettant l’accent sur le consentement, le contrôle et en leur proposant des explications claires. Toute personne gère ainsi ses propres données de manière autonome et responsable, tandis que les entreprises doivent s’y adapter.
DILITRUST VOUS AIDE À RESPECTER LE RGPD
DiliTrust, leader des solutions de gouvernance, dispose de serveurs situés en Europe et au Canada. Vous pouvez donc être certains que nous respectons les nouvelles réglementations de l’UE. En outre, avec les solutions logicielles DiliTrust, vous pouvez facilement gérer et partager vos nouvelles routines et directives partout, à tout moment.
Contactez-nous dès aujourd’hui pour découvrir l’aide que nous pouvons apporter à votre entreprise pour s’adapter aux nouvelles réglementations sur la confidentialité des données.