«L’information, c’est le pétrole du 21e siècle». Nous avons souvent entendu cette phrase ces derniers temps, mais pourquoi ? Nous vivons dans un monde immergé dans les données. Nous créons des données, nous partageons des données, nous analysons des données, nous lisons des données, utilisons des données pour les rapports, la planification et la prise de décision. Nous sommes faits de données et à mesure que nous évoluons dans le monde, la quantité de données évolue aussi et les entreprises en accumulent et en stockent toujours davantage. Le RGPD est un mot à la mode récent dont nous avons entendu parler en particulier en Europe, dans le Golfe et au Moyen-Orient. Tâchons d’en savoir un peu plus!
Avec l’augmentation des données, les entreprises commencent à recourir à la gouvernance de l’information pour fournir un cadre logique avec des processus et des procédures clairs permettant de gérer les données liées aux tâches opérationnelles, transactionnelles et analytiques. Cependant, ce que les entreprises oublient généralement de faire, c’est justement de définir une gouvernance de l’information claire pour établir une vision précise du type de données qu’elles produisent et de la façon dont elles aimeraient les exploiter. Ceci afin qu’elles puissent extraire des données plus pertinentes puis minimiser les coûts et les risques qui en découlent.
En mai 2018, le règlement général sur la protection des données (RGPD) de l’Union Européenne entrera en vigueur. Les entreprises sont-elles concernées ? Bien sûr, et nous allons expliquer ce que cela signifie et quel sera l’impact sur la stratégie de gouvernance de l’information des entreprises à travers le monde, en particulier dans les pays du Golfe et au Moyen-Orient !
Mieux comprendre le RGPD…
Il s’agit tout simplement de protéger vos droits à la confidentialité des données. Le règlement général sur la protection des données (RGPD) est un règlement de l’UE qui spécifie comment les données doivent être utilisées et protégées. Il a été adopté par l’UE en 2016 et sera appliqué dans tous les pays de l’UE en mai 2018. Cela ne veut pas dire que vous avez des limites à l’utilisation de vos données. Vos données vous appartiendront et n’appartiendront qu’à vous.
En quoi êtes-vous concerné si vous êtes dans le Golfe et au Moyen-Orient ?
Ce n’est pas parce que les lois sont applicables dans toute l’Union européenne que la portée du RGPD se limite uniquement à l’Europe. Le commerce international sera également affecté. Les entreprises du Golfe et du Moyen-Orient, en Arabie Saoudite, au Qatar, aux Émirats Arabes Unis, au Liban, etc. seront invitées à mettre en œuvre la «bonne» gouvernance de l’information en appliquant les contrôles de sécurité nécessaires. Il est important de mentionner que de nombreux pays de la région MENA, y compris les Émirats Arabes Unis et le Qatar, ont déjà lancé leurs propres initiatives en matière de «protection des données», sans doute à un niveau de détails moins important que le RGPD, mais le concept global se situe dans les structures organisationnelles. Comme par exemple, l’initiative du Qatar publiée en 2016 : la loi sur la confidentialité et la protection des données, qui présente des similitudes avec le RGPD.
À qui s’applique le RGPD ?
- Aux particuliers au sein de l’Union européenne
- À toutes les entreprises de l’Union européenne qui fournissent des biens et/ou des services aux résidents
- Aux organisations en dehors de l’Union Européenne qui surveillent/traitent le comportement/les données personnelles des résidents de l’UE
Quel genre de données personnelles?
Tout type de données pouvant aider à vous identifier. Nom, photo, adresse e-mail, adresse IP, coordonnées bancaires, informations médicales, etc.
Quelle est l’incidence du RGPD sur la gouvernance de l’information ?
Avec l’introduction du RGPD de l’UE, la confidentialité des données est devenue un élément critique à prendre en compte. De nombreuses nouvelles règles et réglementations relatives aux droits à la vie privée, donnant ainsi plus de pouvoir aux individus :
- Le droit de savoir à quoi vont servir leurs données
- Le droit de pouvoir corriger leurs données
- Le droit de faire oublier leurs données
- Le droit d’imposer des restrictions sur le traitement de leurs données
- Le droit à la portabilité des données
- Le droit de s’opposer au traitement de leurs données
- Le droit à une utilisation limitée des données collectées
- Le droit d’être informé de la violation des données
Une fois le RGPD de l’UE mis en place, les responsables du traitement et les sous-traitants auront des obligations quant à la manière dont ils traiteront les données qu’ils possèdent en tant qu’entreprise.
Comment les entreprises vont-elles gérer leurs informations après l’introduction du RGPD ?
Un nouveau plan de travail sur la gouvernance de l’information devra être mis en place afin de se conformer à ce changement issu du RGPD de l’UE.
Voici la liste des étapes requises :
- Carte des risques liés à la confidentialité des données :
Les entreprises doivent commencer par cartographier les données dont elles disposent et le type d’informations personnelles incluses dans ces données. Quels sont les processus et procédures dont elles disposent pour utiliser ces données personnelles et comment les données personnelles qu’ils détiennent sont-elles échangées vers et depuis l’organisation.
- Minimisation des données :
Les données personnelles collectées ne doivent être que les données dont l’entreprise a besoin pour être en mesure de traiter un certain besoin/exigence. Les données personnelles doivent être pertinentes pour dans un cas précis.
- La gestion du cycle de vie :
Les données collectées doivent être conservées pendant une durée limitée et non pas à long terme. Par conséquent, il faut appliquer une restriction sur la durée de conservation de ces données personnelles.
- Processus de consentement :
Doit être simplifié afin qu’il soit compréhensible par tous, et pas seulement par les avocats ! Toutes les personnes ordinaires doivent être capables de comprendre le règlement afin de pouvoir donner leur consentement à la collecte de données, en toute connaissance de cause.
- Anonymat et pseudonymes des données :
Des mesures internes de sécurité des données pour l’assurance de la confidentialité. Suppression de toute information identifiable au sein des données afin que les propriétaires de données restent anonymes.
- Délai strict pour la violation de données :
L’autorité doit être contactée dans les 72 heures en cas de violation de données. Les fuites de données et la divulgation d’informations ne peuvent plus être signalées un an plus tard.
- Délégué interne dédié à la protection des données :
Les entreprises préfèreront recruter un délégué à la protection des données en interne. Le délégué aura le pouvoir de faire appliquer les règles de sécurité du RGPD et de régulariser en conséquence.
Conclusion
La culture de la gouvernance de l’information va observer un changement au sein des entreprises. C’est comme si la conformité au RGPD avait forcé les entreprises à adopter pleinement la gouvernance de l’information dans sa véritable définition, les obligeant ainsi à fournir une transparence opérationnelle dans la gestion de l’utilisation et de la sécurité ou des informations. Le RGPD affectera très probablement votre entreprise même si vous n’êtes pas dans l’UE ou si vous n’opérez pas dans l’UE. Vous devez en tous cas vous préoccuper de la quantité d’informations confidentielles que votre entreprise stocke, de ce qui l’expose à un risque de vol de données et de divulgation des informations relatives aux clients.
Agissez dès aujourd’hui !
