Cinq ans et 1 640 amendes pour un montant total de 2 781 943 873 euros plus tard, 15 experts se prononcent : selon eux, le RGPD a-t-il été un succès, un échec ou quelque chose entre les deux ? Le RGPD a-t-il atteint les objectifs fixés ?Selon l’étude ESG 2022 sur le rôle stratégique et évolutif de la gouvernance des données, environ 35 % des données totales sont des informations personnelles identifiables (PII) ou autres données sensibles. Avec la montée en flèche des ransomwares et violations de données, le besoin de protéger les données et la nécessité d'une réglementation en matière de confidentialité des données sont évidents. Malgré cela, l'introduction du Règlement général sur la protection des données (RGPD) de l'Union européenne en 2018, avec ses règles strictes et ses lourdes amendes, a provoqué une onde de choc dans le monde des affaires. Cinq ans après son entrée en vigueur, nous nous sommes entretenus avec un panel d'experts sur l'impact du RGPD, sur la question de savoir s'il peut être considéré comme un succès et sur les prochaines étapes dans le monde de la conformité.
L'effet Bruxelles :
Le RGPD a été qualifié d'exemple parfait, où les lois de l'UE influencent la réglementation au-delà des frontières européennes. Ayant un impact sur toute organisation dans n'importe quelle partie du monde qui traite avec des individus européens, le RGPD a transformé le paysage mondial de la confidentialité des données, comme le soulignent plusieurs de ces experts.
Sergei Serdyuk, vice-président de la gestion des produits chez l'éditeur de logiciels de sauvegarde NAKIVO, souligne qu'il a "stimulé les discussions mondiales autour de la protection des données et de la vie privée, conduisant à des mesures de protection des données plus robustes et mettant davantage l'accent sur la transparence et la responsabilité"
David Norfolk, responsable du développement et de la gouvernance au sein de la société d'études de marché Bloor, décrit le RGPD comme un modèle pour d'autres réglementations mondiales : "Le RGPD de l'UE a été un puissant catalyseur pour la protection des données dans d'autres régions du monde"
Mikkel Oxfeldt, conseiller général et avocat chez Keepit, fournisseur de services de gestion et de protection des données dans le nuage, reconnaît que le RGPD a propulsé les discussions sur la confidentialité des données au premier plan à l'échelle mondiale. Cinq ans plus tard, "le règlement européen a inspiré la protection des données dans le monde entier et de nombreux pays ont mis en place des normes de confidentialité. Il s'agit notamment de pays d'Amérique du Sud comme l'Argentine, le Brésil et le Chili, et d'Asie, comme le Japon et la Corée du Sud. En Australie, la loi sur la protection de la vie privée (Privacy Act) est en vigueur depuis 1988, mais elle a été récemment modifiée pour refléter les concepts du RGPD. Le RGPD a également eu une forte influence aux États-Unis, où plusieurs États ont introduit une législation sur la protection des données, notamment la Californie avec le California Consumer Privacy Act et le Colorado avec le Colorado Consumer Protection Act. Au niveau fédéral, le projet de loi américaine sur la confidentialité et la protection des données est un autre exemple de l'évolution de la réglementation. Quel est donc l'impact de ce règlement sur la façon dont les organisations sont gérées et les données manipulées ?"
Aditya Fotedar, DSI de Tintri, fournisseur de plateformes auto-adaptatives et intelligentes, explique que si le RGPD a apporté des changements significatifs, ceux-ci s'appuient sur les réglementations existantes : "Le RGPD est une évolution des lois européennes existantes sur la protection de la vie privée, les principaux changements étant les clauses contractuelles pour les sous-traitants, le droit à l'oubli et le montant des amendes. Cela dit, nous avons dû revoir nos procédures internes et veiller à ce que des accords de traitement des données soient signés avec tous nos fournisseurs et prestataires de services afin de garantir la conformité. La plupart des produits déployés pour les centres de données avaient déjà la capacité de gérer les éléments nécessaires pour se mettre en conformité. Nous devions nous assurer que des procédures adéquates étaient en place pour garantir la conformité."
Des bases aux enjeux de table : lorsqu'il s'agit d'acheter et de déployer de nouvelles technologies dans les centres de données, l'introduction du RGPD a fait passer la conformité et la sécurité au premier plan.
Paul Speciale, CMO de l'entreprise de stockage défini par logiciel et de gestion des données Scality, souligne que "le RGPD a fait de certaines capacités qui étaient auparavant considérées comme des 'lignes de base' des 'enjeux de table' obligatoires aujourd'hui dans le stockage des données. En d'autres termes, elles sont considérées comme des exigences minimales. En particulier, "les entreprises évaluent désormais plus attentivement les capacités suivantes lorsqu'elles prennent des décisions d'achat : cryptage des données, minimisation des données, contrôles d'accès stricts, surveillance et alerte en temps réel, et politiques de conservation des données". Nous fondons cette observation sur des données empiriques, car les exigences relatives à ces capacités sont devenues beaucoup plus fréquentes dans les appels d'offres des clients dans les entreprises et dans le secteur public".
Bruce Kornfeld, directeur marketing chez StorMagic, une entreprise spécialisée dans les données de pointe, partage cet avis : "StorMagic a constaté une augmentation significative du nombre d'utilisateurs finaux qui choisissent de crypter toutes les données au repos. Cela entraîne d'autres complications, comme la nécessité de gérer toutes les clés de chiffrement, d'où la croissance des logiciels de gestion des clés d'entreprise."
Enfin, M. Oxfeldt suggère que le RGPD a influencé le choix des fournisseurs tiers. En vertu du RGPD, les entreprises sont responsables des données qu'elles partagent avec des tiers. Il explique : "Les entreprises qui collectent des données personnelles sont responsables des données qu'elles partagent avec des tiers : "Les entreprises qui collectent des données personnelles sont responsables des violations de la vie privée commises par des tiers et doivent s'assurer que les fournisseurs qui traitent ces données sont conformes au GDPR. Par conséquent, les entreprises peuvent préférer passer des contrats avec de grands fournisseurs de technologie, car ils sont mieux placés pour répondre aux exigences légales du GDPR, ce qui pourrait, potentiellement, donner aux grandes entreprises technologiques un avantage sur les petites entreprises."
Le coût de la conformité : Gartner prévoit qu'en moyenne, le budget annuel d'une grande organisation pour la protection de la vie privée dépassera les 2,5 millions de dollars d'ici 2024. On a demandé à ces experts pourquoi et comment les exigences en matière de confidentialité des données ont eu un impact sur les budgets informatiques.
M. Serdyuk explique que l'impact dépend du niveau de préparation de l'organisation à la conformité, le RGPD entraînant de nouvelles dépenses informatiques, notamment la mise à jour de l'inventaire de protection des données. "En outre, les organisations doivent investir davantage dans les solutions de gestion et de protection des données, les technologies de protection de la vie privée et le personnel chargé de la conformité."
Tsvetomira Godinova, spécialiste senior de la conformité chez l'éditeur de solutions de cyberprotection Acronis, souligne les exigences qui pèsent sur les ressources internes : "Très souvent, les organisations n'ont pas la capacité interne d'aligner tous les processus d'entreprise et doivent investir dans des services de conseil externes. L'évolution rapide de la réglementation nécessite une surveillance constante."
M. Kornfeld souligne que le RGPD a eu un impact négatif sur la capacité des fournisseurs de services à trouver de nouveaux clients, car beaucoup choisissent de ne pas accepter l'utilisation de cookies et/ou d'accords de confidentialité qui permettent le ciblage marketing. Serdyuk ajoute qu'il "peut avoir des effets indésirables sur l'expérience des clients". Un exemple est le formulaire de consentement RGPD qui est censé être avantageux pour les utilisateurs mais qui reste ennuyeux". Toutefois, le coût supplémentaire est compensé par l'amélioration de la sécurité, des processus et de la qualité des données."
Norfolk souligne que "la conformité au RGPD représente un coût, mais elle encourage également les gens à réfléchir aux données, ce qui favorise la qualité - un avantage".
Selon M. Oxfeldt, il ne fait aucun doute que le coût du RGPD en vaut la peine : "Outre la crainte d'encourir des amendes, il existe d'autres raisons pour lesquelles la conformité au RGPD est un bon investissement, notamment l'atténuation de l'impact des violations de données et la création et le maintien de la confiance des clients. Cela dit, il ne fait aucun doute qu'une autre motivation importante pour augmenter les budgets informatiques est la crainte que la non-conformité au GDPR n'entraîne de lourdes amendes, la perte de clients, la perte de revenus ou une atteinte à la réputation."
Le verdict : en 2020, deux ans après l'entrée en vigueur du RGPD, un rapport d'étape de l'UE a qualifié sa mise en œuvre de succès. Le règlement a été critiqué par des organismes de surveillance, des experts et des activistes, notamment pour sa capacité à s'attaquer aux affaires de BigTech. Cette année, la Commission européenne proposera une nouvelle loi visant à préciser les règles de procédure relatives à l'application du RGPD dans les affaires transfrontalières.
Mme Godinova explique : "Le préambule du RGPD énonce les principaux objectifs de l'adoption de la loi et souligne que le droit à la protection des données personnelles est l'un des droits fondamentaux de l'homme. Le règlement doit également contribuer à la réalisation d'un espace de liberté, de sécurité et de justice et d'une union économique, au progrès économique et social, au renforcement et à la convergence des économies au sein du marché intérieur, ainsi qu'au bien-être des personnes physiques. "Nous pouvons dire que le RGPD a plus ou moins réussi à atteindre son premier objectif", poursuit Mme Godinova. "L'introduction du règlement a conduit à une prise de conscience accrue de la protection de la vie privée en tant que droit de l'homme. L'applicabilité territoriale étendue du RGPD, ainsi que les amendes sévères prévues, ont permis d'animer le débat public sur la protection des données. Le lien entre le deuxième objectif principal et le RGPD est moins visible. Nous ne pouvons pas nécessairement dire que le règlement a eu un impact significatif sur la réalisation d'un espace de liberté, de sécurité et de justice et d'une union économique".
Bryan Betts, analyste principal chez Freeform Dynamics, société de recherche et d'analyse dans le domaine des technologies de l'information, explique : "Plus de succès que d'échec, mais oui, entre les deux. Succès parce qu'il a considérablement amélioré le profil et la prise de conscience de la confidentialité des données, peu d'organisations n'étant pas conscientes de ces problèmes aujourd'hui. Le nombre de juridictions dans le monde qui ont ensuite adopté des réglementations similaires montre bien qu'il s'agit plus d'un succès que d'un échec".
M. Serdyuk ajoute : "Le RGPD s'est attaqué à un problème de longue date : "Le RGPD s'est attaqué à un problème de longue date. Rien que pour cela, le GDPR peut être considéré comme un succès. Toutefois, lorsqu'on est un pionnier, il faut s'attendre à quelques écueils en cours de route.L'une de ces pierres d'achoppement est la complexité".
Mme Godinova décrit l'introduction du RGPD comme un "processus douloureux" pour les secteurs privé et public, expliquant que "sur le plan de l'application, certaines autorités de contrôle locales ont eu besoin de temps pour développer l'expertise nécessaire. Certaines fonctionnent malheureusement encore avec peu de ressources".Selon le GSE1, la "complexité des réglementations à suivre" est le deuxième défi le plus fréquemment cité par les organisations lors de la mise en œuvre et de la gestion des initiatives de gouvernance des données. Plus d'un tiers (36 %) des personnes interrogées ont cité cette difficulté. "La quantité excessive de données à gérer, qui limite les capacités d'intelligence des données" est le défi le plus fréquemment cité (37%). Parmi les autres obstacles importants, citons "le trop grand nombre d'applications/technologies de gouvernance des données à gérer" (35 %) et "l'absence de solutions unifiées de gouvernance des données" (30 %). Le "nombre de réglementations à suivre" a été un défi pour 27 % des personnes interrogées.
Selon Paul Speciale, "le plus grand défi consiste à bien comprendre les règles qui régissent les informations nominatives à conserver et celles qui ne le sont pas". Dans notre propre entreprise, nous avons commencé par être trop conservateurs en purgeant de nombreuses données sur des prospects dont nous n'étions pas sûrs qu'ils étaient "opt-in". Aujourd'hui, comme nous comprenons mieux les règles, il est plus clair que nous pouvons conserver les IIP des clients potentiels qui sont considérés comme ayant un "intérêt légitime" pour nos solutions".
Bryan Betts ajoute qu'"il y a beaucoup de malentendus et d'interprétations erronées, les organisations utilisant la confidentialité des données comme excuse pour des processus de "sécurité" et de consentement maladroits et non transparents".
Les défis sont toutefois plus importants, comme le souligne Randy Kerns, stratège et analyste principal au sein de la société d'analyse informatique Evaluator Group : "Du point de vue de la réglementation, il est vrai que cela a imposé un changement, mais celui-ci s'est avéré moins important qu'on ne le pensait. D'un point de vue individuel, je ne pense pas qu'ils voient une grande différence. Je pense que les individus considèrent que la confidentialité de leurs données est un problème plus important avec l'exfiltration dans les cyber-attaques".
Quelle est la prochaine étape ?
Les experts s'accordent à dire qu'il est inévitable que les réglementations en matière de protection de la vie privée continuent à se normaliser dans le monde entier.
M. Oxfeldt, "le nombre de réglementations en matière de protection de la vie privée va continuer à augmenter dans le monde, et Gartner prévoit que d'ici à la fin de 2024, la majorité de la population mondiale verra ses données personnelles couvertes par des réglementations en matière de protection de la vie privée".Cette croissance de la réglementation entraînera une augmentation de l'innovation et de la créativité".
Selon M. Kornfeld, StorMagic ne prévoit pas de ralentissement de cette tendance. Le changement que nous verrons, c'est que l'innovation va démarrer et qu'il y aura de plus en plus d'entreprises de marketing qui trouveront de nouvelles façons de cibler les utilisateurs, tout en se conformant au GDPR et à d'autres réglementations similaires sur la confidentialité des données.
Mme Godinova partage cet avis et affirme que les utilisateurs finaux attendent des organisations "un traitement plus sûr et plus respectueux de la vie privée". Ces attentes accrues poussent les entreprises les plus matures à repenser le RGPD et les obligations similaires en matière de protection des données. La mise en œuvre des exigences peut être considérée non seulement comme un fardeau de conformité, mais aussi comme un moyen d'obtenir un avantage commercial compétitif basé sur la construction de la confiance envers ses clients".
Christophe Bertrand, analyste principal chez ESG, souligne les opportunités qui s'offrent aux entreprises de gestion des données : "Je m'attends à voir davantage de capacités de gestion intelligente des données chez les fournisseurs traditionnels de protection des données, où elles deviendront un élément clé de l'appareil de conformité."
Pour M. Kerns, la sécurité doit être la priorité du moment : "Le RGPD a été traité et n'est pas une préoccupation permanente pour l'informatique. Les cyber-attaques et la protection des données sont des questions plus urgentes".
M. Speciale partage cet avis : "La sécurité des données reste la priorité absolue pour nos clients et sur notre propre feuille de route pour l'avenir prévisible (d'autant plus que la menace des ransomwares/malwares persiste)".
Curtis Anderson, architecte logiciel chez Panasas, un fournisseur de solutions de données pour les applications de haute performance et d'IA, résume : "En substance, le RGPD fixe les conséquences d'un mauvais comportement de la part d'organisations en ligne par ailleurs respectueuses de la loi, tandis que pour le vol de données et l'espionnage, nous avons besoin de moyens pour prévenir réellement le mauvais comportement d'organisations qui enfreignent la loi."
Mais, que le RGPD ait été traité ou non, il est clair qu'il a changé la conversation autour de la confidentialité des données et qu'il a eu un impact profond et durable. Laissons le mot de la fin à Fotedar de Tintri : "Le paradoxe de la vie privée continue - nous voulons partager nos données mais nous ne voulons pas que vous les exploitiez".
A propos d'A3 Communications
A3 Communications aide les organisations du secteur du stockage de données et des industries connexes à accroître de manière significative la notoriété de leur marque et à créer une réputation de premier plan auprès de leurs publics cibles grâce à leur expertise, leur fiabilité et leurs résultats.
Source : Federica Monsone, A3 Communications
Et vous ?
Trouvez-vous l'avis de ces experts pertinents ? Comment perceviez-vous le RGPD à ses débuts ? votre avis est-il resté le même ou a-t-il évolué ? Pensez-vous que le RGPD ne va pas assez loin ou est allé trop loin ? Le RGPD est-il suffisamment appliqué selon vous ? Pensez-vous qu'il soit correctement appliqué dans votre entreprise ?Voir aussi
fleche: La Grande-Bretagne veut s'éloigner d'un copier-coller du RGPD tandis qu'elle modifie ses règles de confidentialité post-Brexit, qui seraient basées sur « le bon sens, pas sur des cases à cocher »
fleche: Un site Web condamné à une amende par un tribunal allemand pour avoir divulgué l'adresse IP d'un visiteur via Google Fonts, le propriétaire du site risque une peine de prison en cas de récidive
fleche: L'Union européenne se prépare à corriger le RGPD en améliorant la façon dont il est appliqué. Un texte est attendu avant cet été, selon une page récemment publiée sur son site Web
