La confidentialité des données se fait plus discrète : Les amendes prévues par le GDPR augmenteront de 40 % en 2020

En Europe, le Règlement général sur la protection des données (RGPD), plus établi - en place depuis 2018 - continue de poser des défis à de nombreuses organisations. Les attentes des régulateurs de la protection des données dans l'ensemble de l'Union européenne (UE) augmentent, tandis que les entreprises continuent de maîtriser les exigences.

La récente enquête de DLA Piper sur les amendes liées au GDPR et les violations de données suggère qu'il continue de poser des problèmes à beaucoup d'entre eux, même après près de trois ans, les pénalités imposées en vertu du GDPR augmentant de plus de 40 % en 2020 pour atteindre 193 millions de dollars.

D'après les conversations que nous avons eues avec nos clients, nous savons que les exigences du GDPR sont globalement bien comprises par les entreprises et que les bases de la gestion des éléments fondamentaux du GDPR sont en place. Comme le confirment ces amendes, le défi majeur pour de nombreuses entreprises est d'intégrer ces principes fondamentaux dans les processus opérationnels de l'entreprise.

Quelles informations pouvons-nous recueillir ?

Les problèmes critiques mis au jour par l'étude comprennent les problèmes liés aux avis de confidentialité trop compliqués, qui ont une incidence sur les dispositions relatives à la transparence. De nombreuses organisations ne parviennent toujours pas à obtenir le consentement des personnes concernées pour traiter leurs données personnelles. D'autres ne parviennent pas à sécuriser correctement les informations personnelles, notamment en contrôlant l'accès aux bases de données stockant des données personnelles et l'utilisation qui en est faite. Un autre problème est l' incapacité à minimiser la quantité de données conservées afin de réduire l'impact sur les individus en cas de violation de la sécurité.

Les régulateurs ont principalement imposé des amendes aux grandes entreprises, qui collectent quotidiennement les plus grands volumes de données liées au GDPR. Elles ont également réalisé les investissements les plus importants en termes de personnel, de systèmes et d'outils pour gérer leur conformité. Cela illustre le défi que représente la prise en compte de tous les détails du GDPR, en permanence, alors qu'une entreprise évolue et continue de collecter toujours plus de données. Il met également en évidence les défis opérationnels auxquels sont confrontées les entreprises qui disposent de moins de temps, de ressources et de budget.

Les questions soulevées dans l'étude sont diverses. Néanmoins, il existe des thèmes communs, principalement pour garantir que le personnel opérationnel, qui utilise des données sensibles au GDPR dans le cadre de ses fonctions habituelles, travaille dans le respect de la réglementation. Bien qu'ils soient largement conscients du GDPR, le manque de compréhension de la part de la direction et du personnel des détails de la réglementation, telle qu'elle s'applique à leurs systèmes et processus opérationnels - en particulier avec les applications existantes ou celles qui échappent au contrôle de la fonction informatique - peut exposer l'entreprise la mieux préparée à la non-conformité, et potentiellement à des amendes.

Comment résoudre les problèmes de conformité en matière de protection de la vie privée

Il existe plusieurs façons d'aborder ces questions :

Un cadre unifié de gestion des politiques peut aider à intégrer les principes et les exigences du GDPR dès le départ dans les processus et les applications de base. Un référentiel centralisé des politiques permet à la direction et aux équipes chargées du GDPR d'examiner les politiques et les procédures qui reposent sur des données GDPR afin de s'assurer de leur conformité. Au fur et à mesure que la politique évolue, elle peut être examinée et approuvée par les deux parties afin de s'assurer qu'elle reste conforme ou d'aider à identifier tout problème de conformité qui apparaîtrait.

Cette approche centralisée permet d'éviter l'utilisation simultanée de versions multiples - et incohérentes - d'une politique, une situation qui ne manquerait pas de créer une violation du GDPR. Elle permet également de tester les utilisateurs sur la manière dont ils appliquent le GDPR, afin d'aider à contrôler la formation et l'évaluation globales de la conformité. Il sert également de moteur d'attestation pour les responsables afin de démontrer la conformité, en fournissant des mesures qui alimentent le cadre GRC de l'entreprise.

Il convient également de se concentrer sur les domaines dans lesquels les informations personnelles sont stockées en dehors de l'environnement informatique de l'entreprise. Les applications informatiques de l'utilisateur final (EUC) - généralement des feuilles de calcul - sont souvent utilisées comme des solutions rapides à des problèmes commerciaux urgents et peuvent donc contenir des informations personnelles dans le cadre du GDPR. Elles sont souvent méconnues, non contrôlées et non surveillées par les équipes GDPR. S'ils contiennent ces informations, ils doivent être identifiés, surveillés de manière proactive et le personnel doit être en mesure d'identifier les modifications apportées aux données qui ont une incidence sur le GDPR.

Si ces questions concernent uniquement le GDPR, il est tout aussi évident qu'elles se poseront avec des réglementations similaires dans le monde entier, notamment la CCPA et la NYPA. Toute organisation qui s'engage sur les marchés des États-Unis et de l'Union européenne doit être consciente des problèmes et de la meilleure façon de les résoudre, indépendamment de sa taille et de sa situation géographique.

Les entreprises devraient trouver un partenaire/fournisseur disposant des outils complets qui facilitent la prise en charge de la confidentialité des données et qui sont rapides à mettre en œuvre. Ces solutions devraient englober le GDPR, la CCPA, la loi sur la protection de la vie privée, la loi sur la protection des données et de nombreuses autres réglementations.