GDPR-paradoxe

GDPR, une réglementation ciblant les géants de l’économie numérique qui aura des impacts importants sur les petites entreprises… Et qui en cherchant à protéger les données personnelles pourrait les exposer davantage !

GDPR a pour objectif de réglementer l’utilisation qui est faite des données personnelles.
Sont notamment ciblées les entreprises du web…
Ces entreprises dont le modèle économique consiste en partie à exploiter ces données à des fins lucratives sans que l’utilisateur lambda n’aie grand-chose à y redire… jusqu’à aujourd’hui !

La réglementation ne cible pas distinctement une catégorie d’entreprises en particulier. Elle s’applique donc à toutes, privées et publiques (hormis les agences nationales de sécurité et les forces de l’ordre).

GDPR-maturité

Comment GDPR va impacter les entreprises ?

  • Les géants du numérique, webmarketeurs et autres webmarchands sont les premiers visés par GDPR. Ils sont les plus exposés aux risques que veut couvrir la réglementation et doivent réagir vite (la plupart sont d’ailleurs déjà en ordre de marche). Les impacts sont a priori lourds pour eux.
    Ces derniers disposent cependant d’un SI à l’état de l’art en matière de gestion centralisée des données et de sécurité ainsi que des moyens de développement permettant de résorber les écarts dans des délais courts.
  • Les grandes entreprises du type banque, assurances, opérateurs de services, administrations, hôpitaux etc… Celles-ci manipulent des données personnelles, les traitent en grand nombre et disposent déjà souvent d’un savoir-faire en matière de conformité / compliance. Elles devront cependant faire face à un challenge plus important pour la refonte de leur SI et de leurs processus. En effet leurs organisations sont davantage silotées et pénalisées par une dette historique certaine. Ces entreprises ne seront pas favorisées non plus dans cet exercice par leur moindre agilité.
  • Les autres entreprises sont a priori moins exposées à GDPR car elles stockent peu de données personnelles et ne font que très peu de traitements dessus. Cependant nombre d’entre elles vont découvrir la notion de conformité à l’occasion de GDPR. La plupart disposent de très peu de moyens pour y faire face. GDPR et LPD risquent fort d’être un passage douloureux.

Quels types d’entreprises seront les plus impactés?

GDPR / LPD risquent davantage d’être une épée de Damoclès sur le long terme pour les petites entreprises peu matures que pour les géants du web, qui sauront eux y répondre sous des délais relativement courts.

En effet, les petites entreprises vont aussi devoir être en mesure de permettre aux « data subject » d’exercer leurs droits. Même si elles ne font pas de Big Data et de profilage, ces entreprises détiennent des données de base sur leurs employés et clients. Ces derniers, généralement dans le cas d’un désaccord, seront susceptibles de vouloir exercer leur droit d’accès aux informations détenues ou leur droit d’oubli.
Cela aura pour conséquence de générer une surcharge de travail si ces processus ne sont pas automatisés ou simplement mal rodés voire des attaques en justice si les demandes ne sont pas honorées.

Les risques relatifs à GDPR et LPD

L’autre objectif de GDPR et LPD est de garantir que tout le soin nécessaire est apporté pour la sécurisation des données à caractère personnel par leurs détenteurs.
Hors la sensibilisation du grand public à ces problématiques d’une part et l’exercice des droits d’accès à l’oubli et au transfert d’autre part risquent de les mettre justement encore davantage à risque. En effet, demander l’accès à l’ensemble de vos informations à une entreprise se solde aujourd’hui souvent par un refus catégorique –  ce ne sera plus le cas demain.
Combinons ceci avec l’augmentation des usurpations d’identité et du principe de rançon après vol de données (plus rentable que le vol-recèle) : une authentification stricte des demandeurs est indispensable pour ne pas augmenter le risque de perte de données personnelles voire sensibles.

GDPR et LPD vont avoir un impact significatif sur votre entreprise, que le traitement de données personnelles soit votre cœur de métier ou non.
Ces réglementations mettent par ailleurs en évidence ce que nous ressentions déjà : la sécurité des données personnelles et sensibles est trop souvent traitée de manière insuffisante au sein de nos entreprises. Cela doit changer à partir de maintenant.
Pour en savoir plus, rejoignez-nous pour notre événement dédié le 20 juin à Lausanne : inscriptions 

Autre article sur le même thème :

http://www.redsen-consulting.com/fr/inspired/compliance/gdpr

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Voir plus
scroll to top