Close
  • Français
  • English

03/06/2013Le futur règlement européen sur la protection des données à caractère personnel – Quels obstacles à sa mise en œuvre effective ? [Par Hugo Lemarchand, CEIS]

Un coût de conformité et des sanctions potentielles élevés pour les entreprises

Le projet de règlement impose de nouvelles obligations aux entreprises. Elles devront désormais mettre en œuvre des garanties pour assurer un niveau de sécurité au traitement et à la nature des données. Les entreprises devront mettre en œuvre des nouveaux processus, réaliser des audits et des évaluations de confidentialité, revoir les relations qu’elles entretiennent avec leurs clients (principe de l’opt-in)[1] et assurer une surveillance supplémentaire. Ces évolutions représenteront certainement un coût important et nécessiteront le recrutement de nouveaux personnels spécialisés en la matière.

A côté de cela, en lieu et place de l’obligation actuelle pour les entreprises de déclarer l’ensemble des activités concernant la protection de données aux autorités de contrôle compétentes actuellement, le règlement accroît leur responsabilité. Un des points les plus controversés concerne en effet le délai de notification que les entreprises devront respecter lorsqu’elles constateront une violation grave de données[2]. Ainsi, en cas de vol, de perte ou de piratage, le délai imposé serait de 24 heures et tout retard devra être justifié[3]. Cette obligation semble difficile à respecter pour les entreprises, particulièrement pour les PME, au vu de la quantité de renseignements exigée lors de la notification (nature de la violation, conséquences et mesures prises) et du coût de celle-ci[4], alors que les sanctions qui sont imposées en cas de non respect semblent très lourdes. En effet, aux coûts engendrés par ces obligations se cumulent des amendes pouvant s’élever jusqu’à 1 million d’euros ou 2 % du chiffre d’affaires[5]. Au-delà de la volonté affichée de dissuader les entreprises de ne pas se conformer aux obligations précitées, ce montant viendra également compenser la difficulté pour les autorités de procéder à un contrôle effectif, eu égard à la multitude d’entreprises qui devraient être contrôlées.

A cela s’ajoute que les coûts engendrés par la perte ou le vol de données permettront la naissance d’un nouveau marché pour les assureurs. On peut considérer en effet qu’au-delà du rôle classique de l’assurance, c’est-à-dire recouvrer les pertes engendrées,  les offres proposées par les assureurs comprendront certainement une expertise technique et un service d’audit dans l’objectif de pouvoir réagir plus vite et de limiter les dégâts. Certains assureurs ont déjà fait le choix de mettre à disposition un soutien opérationnel chez leurs assurés en cas d’incident.

S’esquisse un véritable enjeu à l’égard des entreprises qui devront se conformer à ces nouvelles obligations. Mais si l’on considère la valeur estimée des données personnelles à 315 milliards € en 2011[6]et pouvant atteindre 1000 milliards € en 2020, soit 8% du PIB européen, les sanctions semblent d’emblée plus adéquates. En outre, le coût de cette réglementation est à rapporter au coût d’une notification pour les violations importantes en matière de cybersécurité, généralement beaucoup plus élevé.

___________
Sources :

[1] Les sites entreprises qui collectent et conservent des données sur leurs clients seront tenus de justifier la nécessité de garder de telles informations et le consentement expresse de l’utilisateur sera requis.
[2] Article 31 du projet de Règlement : « En cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l’autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu’elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard ».
[3] http://www.zdnet.fr/actualites/donnees-personnelles-bruxelles-veut-renforcer-la-protection-des-internautes-39767771.htm.
[4] Selon un sondage réalisé par l’institut Ponemon en 2009, le coût moyen d’une notification  concernant une perte de données par client s’élevait à 202$.
[5] Appliquée au chiffre d’affaires de Microsoft, cette amende s’élèverait à 1,8 milliard de dollars.