Le GDPR (General Data Protection Regulation) qu'est ce que c'est ..?
En France, on connaissait la loi du 6 janvier 1978, dite Loi Informatique et Libertés, rafraîchit depuis par la réforme du 6 août 2004 suite à des directives européennes.
Cette fois Bruxelles met les bouchées doubles et pousse plus loin l'unification des règles liées au numérique avec un règlement (donc d'application directe!) relatif à la récolte, la diffusion et la conservation de la data des particuliers par les entreprises mais également les associations, administrations, collectivités locales et syndicats d'entreprises.
Au stade de projet depuis 2015, le règlement a été voté en 2016, et sera donc d'application obligatoire pour tous les acteurs concernés dès mai 2018.
Jusqu'à présent chaque pays membre de l'Union Européenne réglementait les activités relatives à la récolte d'informations via internet par des réglementations distinctes, propres à chacun.
L'objectif principal du GDPR est de faire tomber les frontières conventionnelles et d'unifier les systèmes de sanctions distincts.
Le second objectif est de renforcer la législation en matière de protection des données.
La protection des individus contre toute manipulation malveillante des informations qu'ils ont pu distiller sur la toile y est érigée comme motivation principale de l'ensemble des mesures présentées dans les 88 pages qui composent le règlement.
Les devoirs des acteurs tourneront autour de tout type de data qu'elle soit récoltée directement ou non, se trouvant sur des terminaux desktop (ordinateurs), des terminaux mobiles ou des serveurs, dans des échanges emails ou dans la consignation des logs et du traçage, même non identifiés, des visiteurs du site Internet de l’entité.
Dès mai 2018, les organisations devront se plier aux convenances suivantes :
A tout moment, l'entreprise devra être en mesure de prouver aux autorités compétentes que l'ensemble de ses obligations sont respectées et mises en oeuvre, sous peine de s'exposer à des sanctions.
L'approche de la GDPR est celle de la cyber-résilience : possibilité de prouver à tout moment par une entité de la qualité, la quantité, la localisation, l'objectif de la collecte de data ainsi que de leur mode de gestion.
Si les conventions d'exploitation ne sont pas respectées la répression peut aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaire. Aucun plafond n'a été établi pour la rémunération des personnes lésées, qui sera bien entendu également à la charge de l'exploitant faussaire.
Ces obligations sont vues comme une base à l'exploitation à bon escient d'informations qui représentent un poids conséquent en terme économique.
Les travaux à mettre en place en amont de l'obligation représentent bien entendu un coût non négligeable pour les concernés, cependant les institutions considèrent qu'il sera vite rentabilisé par l'acquisition de données plus qualifiées, mieux classées, mieux protégées, donc exploitées de façon plus optimale. A noter en sachant qu'avec l'explosion des leviers qu'offrent internet, on tend de plus en plus à l'émergence et la transformation de business model basé uniquement sur ces métayages.
Bien mis en place, ce plan devrait renforcer la transparence et donc augmenter la confiance des citoyens pour les entités extractrices de datas.
Dans ce magma institutionnel, il est bon de dégager des priorités pour les acteurs :
Ces actions constitueront une base qualitative pour de futures actions de récolte de données qualifiées, et en accord avec les nouvelles réglementations.