Cinq ans et 1 640 amendes pour un montant total de 2 781 943 873 euros plus tard, 15 experts se prononcent : selon eux, le RGPD a-t-il été un succès, un échec ou quelque chose entre les deux ? Le RGPD a-t-il atteint les objectifs fixés ?Selon l’étude ESG 2022 sur le rôle stratégique et évolutif de la gouvernance des données, environ 35 % des données totales sont des informations personnelles identifiables (PII) ou autres données sensibles. Avec la montée en flèche des ransomwares et violations de données, le besoin de protéger les données et la nécessité d'une réglementation en matière de confidentialité des données sont évidents. Malgré cela, l'introduction du Règlement général sur la protection des données (RGPD) de l'Union européenne en 2018, avec ses règles strictes et ses lourdes amendes, a provoqué une onde de choc dans le monde des affaires. Cinq ans après son entrée en vigueur, nous nous sommes entretenus avec un panel d'experts sur l'impact du RGPD, sur la question de savoir s'il peut être considéré comme un succès et sur les prochaines étapes dans le monde de la conformité.
L'effet Bruxelles :
Le RGPD a été qualifié d'exemple parfait, où les lois de l'UE influencent la réglementation au-delà des frontières européennes. Ayant un impact sur toute organisation dans n'importe quelle partie du monde qui traite avec des individus européens, le RGPD a transformé le paysage mondial de la confidentialité des données, comme le soulignent plusieurs de ces experts.
Sergei Serdyuk, vice-président de la gestion des produits chez l'éditeur de logiciels de sauvegarde NAKIVO, souligne qu'il a "stimulé les discussions mondiales autour de la protection des données et de la vie privée, conduisant à des mesures de protection des données plus robustes et mettant davantage l'accent sur la transparence et la responsabilité"
David Norfolk, responsable du développement et de la gouvernance au sein de la société d'études de marché Bloor, décrit le RGPD comme un modèle pour d'autres réglementations mondiales : "Le RGPD de l'UE a été un puissant catalyseur pour la protection des données dans d'autres régions du monde"
Mikkel Oxfeldt, conseiller général et avocat chez Keepit, fournisseur de services de gestion et de protection des données dans le nuage, reconnaît que le RGPD a propulsé les discussions sur la confidentialité des données au premier plan à l'échelle mondiale. Cinq ans plus tard, "le règlement européen a inspiré la protection des données dans le monde entier et de nombreux pays ont mis en place des normes de confidentialité. Il s'agit notamment de pays d'Amérique du Sud comme l'Argentine, le Brésil et le Chili, et d'Asie, comme le Japon et la Corée du Sud. En Australie, la loi sur la protection de la vie privée (Privacy Act) est en vigueur depuis 1988, mais elle a été récemment modifiée pour refléter les concepts du RGPD. Le RGPD a également eu une forte influence aux États-Unis, où plusieurs États ont introduit une législation sur la protection des données, notamment la Californie avec le California Consumer Privacy Act et le Colorado avec le Colorado Consumer Protection Act. Au niveau fédéral, le projet de loi américaine sur la confidentialité et la protection des données est un autre exemple de l'évolution de la réglementation. Quel est donc l'impact de ce règlement sur la façon dont les organisations sont gérées et les données manipulées ?"
Aditya Fotedar, DSI de Tintri, fournisseur de plateformes auto-adaptatives et intelligentes, explique que si le RGPD a apporté des changements significatifs, ceux-ci s'appuient sur les réglementations existantes : "Le RGPD est une évolution des lois européennes existantes sur la protection de la vie privée, les principaux changements étant les clauses contractuelles pour les sous-traitants, le droit à l'oubli et le montant des amendes. Cela dit, nous avons dû revoir nos procédures internes et veiller à ce que des accords de traitement des données soient signés avec tous nos fournisseurs et prestataires de services afin de garantir la conformité. La plupart des produits déployés pour les centres de données avaient déjà la capacité de gérer les éléments nécessaires pour se mettre en conformité. Nous devions nous assurer que des procédures adéquates étaient en place pour garantir la conformité."
Des bases aux enjeux de table : lorsqu'il s'agit d'acheter et de déployer de nouvelles technologies dans les centres de données, l'introduction du RGPD a fait passer la conformité et la sécurité au premier plan.
Paul Speciale, CMO de l'entreprise de stockage défini par logiciel et de gestion des données Scality, souligne que "le RGPD a fait de certaines capacités qui étaient auparavant considérées comme des 'lignes de base' des 'enjeux de table' obligatoires aujourd'hui dans le stockage des données. En d'autres termes, elles sont considérées comme des exigences minimales. En particulier, "les entreprises évaluent désormais plus attentivement les capacités suivantes lorsqu'elles prennent des décisions d'achat : cryptage des données, minimisation des données, contrôles d'accès stricts, surveillance et alerte en temps réel, et politiques de conservation des données". Nous fondons cette observation sur des données empiriques, car les exigences relatives à ces capacités sont devenues beaucoup plus fréquentes dans les appels d'offres des clients dans les entreprises et dans le secteur public".
Bruce Kornfeld, directeur marketing chez StorMagic, une entreprise spécialisée dans les données de pointe, partage cet avis : "StorMagic a constaté une augmentation significative du nombre d'utilisateurs finaux qui choisissent de crypter toutes les données au repos. Cela entraîne d'autres complications, comme la nécessité de gérer toutes les clés de chiffrement, d'où la croissance des logiciels de gestion des clés d'entreprise."
Enfin, M. Oxfeldt suggère que le RGPD a influencé le choix des fournisseurs tiers. En vertu du RGPD, les entreprises sont responsables des données qu'elles partagent avec des tiers. Il explique : "Les entreprises qui collectent des données personnelles sont responsables des données qu'elles partagent avec des tiers : "Les entreprises qui collectent des données personnelles sont responsables des violations de la vie privée commises par des tiers et doivent s'assurer que les fournisseurs qui traitent ces données sont conformes au GDPR. Par conséquent, les entreprises peuvent préférer passer des contrats avec de grands fournisseurs de technologie, car ils sont mieux placés pour répondre aux exigences légales du GDPR, ce qui pourrait, potentiellement, donner aux grandes entreprises technologiques un avantage sur les petites entreprises."
Le coût de la conformité : Gartner prévoit qu'en moyenne, le budget annuel d'une grande organisation pour la protection de la vie privée dépassera les 2,5 millions de dollars d'ici 2024. On a demandé à ces experts pourquoi et comment les exigences en matière de confidentialité des données ont eu un impact sur les budgets informatiques.
M. Serdyuk explique que l'impact dépend du niveau de préparation de l'organisation à la conformité, le RGPD entraînant de nouvelles dépenses informatiques, notamment la mise à jour de l'inventaire de protection des données. "En outre, les organisations doivent investir davantage dans les solutions de gestion et de protection des données, les technologies de protection de la vie privée et le personnel chargé de la conformité."
Tsvetomira Godinova, spécialiste senior de la conformité chez l'éditeur de solutions de cyberprotection Acronis, souligne les exigences qui pèsent sur les ressources internes : "Très souvent, les organisations n'ont pas la capacité interne d'aligner tous les processus d'entreprise et doivent investir dans des services de conseil externes. L'évolution rapide de la réglementation nécessite une surveillance constante."
M. Kornfeld souligne que le RGPD a eu un impact négatif sur la capacité des fournisseurs de services à trouver de nouveaux clients, car beaucoup choisissent de ne pas accepter l'utilisation de cookies et/ou d'accords de confidentialité qui permettent le ciblage marketing. Serdyuk ajoute qu'il "peut avoir des effets indésirables sur l'expérience des clients". Un exemple est le formulaire de consentement RGPD qui est censé être avantageux pour les utilisateurs mais qui reste ennuyeux". Toutefois, le coût supplémentaire est compensé par l'amélioration de la sécurité, des processus et de la qualité des données."
Norfolk souligne que "la conformité au RGPD représente un coût, mais elle encourage également les gens à réfléchir aux données, ce qui favorise la qualité - un avantage".
Selon M. Oxfeldt, il ne fait aucun doute que le coût du RGPD en vaut la peine : "Outre la crainte d'encourir des amendes, il existe d'autres raisons pour lesquelles la conformité au RGPD est un bon investissement, notamment l'atténuation de l'impact des violations de données et la création et le maintien de la confiance des clients. Cela dit, il ne fait aucun doute qu'une autre motivation importante pour augmenter les budgets informatiques est la crainte que la non-conformité au GDPR n'entraîne de lourdes amendes, la perte de clients, la perte de revenus ou une atteinte à la réputation."
Le verdict : en 2020, deux ans après l'entrée en vigueur du RGPD, un rapport d'étape de l'UE a qualifié sa mise en œuvre de succès. Le règlement a été critiqué par des organismes de surveillance, des experts et des activistes, notamment pour sa capacité à s'attaquer aux affaires de BigTech. Cette année, la Commission européenne proposera une nouvelle loi visant à préciser les règles de procédure relatives à l'application du RGPD dans les affaires transfrontalières.
Mme Godinova explique : "Le préambule du RGPD énonce les principaux objectifs de l'adoption de la loi et souligne que le droit à la protection des données personnelles est l'un des droits fondamentaux de l'homme. Le règlement doit également contribuer à la réalisation d'un espace de liberté, de sécurité et de justice et d'une union économique, au progrès économique et social, au renforcement et à la convergence des économies au sein du marché intérieur, ainsi qu'au bien-être des personnes physiques. "Nous pouvons dire que le RGPD a plus ou moins réussi à atteindre son premier objectif", poursuit Mme Godinova. "L'introduction du règlement a conduit à une prise de conscience accrue de la protection de la vie privée en tant que droit de l'homme. L'applicabilité territoriale étendue du RGPD, ainsi que les amendes sévères prévues, ont permis d'animer le débat public sur la protection des données. Le lien entre le deuxième objectif principal et le RGPD est moins visible. Nous ne pouvons pas nécessairement dire que le règlement a eu un impact significatif sur la réalisation d'un espace de liberté, de sécurité et de justice et d'une union économique".
Bryan Betts, analyste principal chez Freeform Dynamics, société de recherche et d'analyse dans le domaine des technologies de l'information, explique : "Plus de succès que d'échec, mais oui, entre les deux. Succès parce qu'il a considérablement amélioré le profil et la prise de conscience de la confidentialité des données, peu d'organisations n'étant pas conscientes de ces problèmes aujourd'hui. Le nombre de juridictions dans le monde qui ont ensuite adopté des réglementations similaires montre bien qu'il s'agit plus d'un succès que d'un échec".
M. Serdyuk ajoute : "Le RGPD s'est attaqué à un problème de longue date : "Le RGPD s'est attaqué à un problème de longue date. Rien que pour cela, le GDPR peut être considéré comme un succès. Toutefois, lorsqu'on est un pionnier, il faut s'attendre à quelques écueils en cours de route.L'une de ces pierres d'achoppement est la complexité".
Mme Godinova décrit l'introduction du RGPD comme un "processus douloureux" pour les secteurs privé et public, expliquant que "sur le plan de l'application, certaines autorités de contrôle locales ont eu besoin de temps pour développer l'expertise nécessaire. Certaines fonctionnent malheureusement encore avec peu de ressources".Selon le GSE1, la "complexité des réglementations à suivre" est le deuxième défi le plus fréquemment cité par les organisations lors de la mise en œuvre et de la gestion des initiatives de gouvernance des données. Plus d'un tiers (36 %) des personnes interrogées ont cité cette difficulté. "La quantité excessive de données à gérer, qui limite les capacités d'intelligence des données" est le défi le plus fréquemment cité (37%). Parmi les autres obstacles importants, citons "le trop grand nombre d'applications/technologies de gouvernance des données à gérer" (35 %) et "l'absence de solutions unifiées de gouvernance des données" (30 %). Le "nombre de réglementations à suivre" a été un défi pour 27 % des personnes interrogées.
Selon Paul Speciale, "le plus grand défi consiste à bien comprendre les règles qui régissent les informations nominatives à conserver et celles qui ne le sont pas". Dans notre propre entreprise, nous avons commencé par être trop conservateurs en purgeant de nombreuses données sur des prospects dont nous n'étions pas sûrs qu'ils étaient "opt-in". Aujourd'hui, comme nous comprenons mieux les règles, il est plus clair que nous pouvons conserver les IIP des clients potentiels qui sont considérés comme ayant un "intérêt légitime" pour nos solutions".
Bryan Betts ajoute qu'"il y a beaucoup de malentendus et d'interprétations erronées, les organisations utilisant la confidentialité des données comme excuse pour des processus de "sécurité" et de consentement maladroits et non...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
