Se conformer au règlement général sur la protection des données ne consiste pas seulement à apaiser les régulateurs et à éviter des amendes. La conformité au RGPD offre également une série d’avantages commerciaux dans des domaines tels que la protection des données, la sécurité et au-delà.
Le RGPD, entré en vigueur en 2018, est un règlement adopté par l’Union européenne pour protéger la sécurité et la confidentialité des données. Elle oblige les entreprises qui gèrent des informations personnelles identifiables (PII) à adopter des mesures spécifiques pour protéger et sécuriser ces données. Bien que le RGPD soit un règlement de l’UE, il stipule que toute entreprise qui stocke des données sur les citoyens de l’UE ou met ses services à leur disposition doit se conformer au RGPD. Ainsi, la conformité au RGPD affecte les organisations du monde entier, et pas seulement celles basées dans l’UE.
Conséquences de la non-conformité au RGPD
Des doutes ont surgi dans les années qui ont suivi l’introduction du RGPD quant à savoir si ses exigences étaient suffisamment spécifiques pour conduire à une application stricte. Certains observateurs se sont également demandé si le RGPD serait appliqué de manière incohérente puisque son modèle d’application repose sur des pays individuels au sein de l’UE, et non sur une agence centrale d’application, pour contrôler la conformité et infliger des amendes aux contrevenants. De tels facteurs ont donné aux entreprises des raisons de croire que le non-respect du RGPD n’entraînerait pas de conséquences graves.
Ce n’est plus une position plausible. À ce jour, les régulateurs ont infligé un certain nombre d’amendes importantes pour non-conformité au RGPD. Certains des cas les plus notables sont les suivants :
- Meta a encouru une amende record de 1,2 milliard d’euros (1,3 milliard de dollars) en 2023 après que les régulateurs du RGPD ont conclu que l’entreprise avait transféré des informations personnelles au-delà des frontières sans protection adéquate des données. Cette sanction s’ajoute aux amendes précédemment infligées à Meta, qui s’élèvent à plusieurs centaines de millions d’euros.
- Amazon a été condamné à une amende de 746 millions d’euros (805 millions de dollars) en 2021 pour non-conformité au RGPD liée à l’utilisation de publicités ciblées sans le consentement des consommateurs.
- TikTok a été condamné à une amende de 345 millions d’euros (372 millions de dollars) en 2023 en réponse à des violations des exigences de traitement des données et de transparence du RGPD.
- Google a été condamné à plusieurs amendes entre 2019 et 2022 par les régulateurs du RGPD, principalement en raison de constatations selon lesquelles l’entreprise manquait de consentement et de transparence suffisants dans les produits de personnalisation des publicités.
Ces amendes ne sont que quelques-unes des sanctions pour non-conformité au RGPD impliquant de grandes entreprises. Selon le GDPR Enforcement Tracker, les régulateurs ont émis à ce jour plus de 2 200 amendes pour non-conformité au RGPD, dont de nombreuses contre des particuliers ou des petites entreprises. Il y a des raisons de s’attendre à ce que les amendes pour non-conformité augmentent dans les années à venir en raison de nouvelles règles conçues pour renforcer l’application du RGPD dans les cas qui dépassent les frontières nationales.
Le rôle de la protection des données dans le respect du RGPD
Les raisons varient pour les entreprises qui ne se conforment pas au RGPD. Cependant, le type de violation le plus courant concerne l’article 5 du RGPD, qui régit la manière dont les entreprises traitent et stockent les données personnelles. Pour se conformer à l’article 5, les entreprises doivent protéger les données « contre tout traitement non autorisé ou illégal et contre toute perte, destruction ou dommage accidentels » tout en s’assurant qu’elles ne conservent pas les informations personnelles plus longtemps que nécessaire.
La protection des données joue un rôle essentiel dans la conformité au RGPD en raison de l’article 5. L’objectif principal de la protection des données est d’atténuer le risque de modification ou de suppression involontaire des données. En déployant des mesures de protection des données, les entreprises contribuent à répondre à cette exigence fondamentale du RGPD.
En outre, les mandats du RGPD devraient éclairer la manière dont les entreprises abordent la protection des données dans la mesure où le stockage des informations personnelles dans des sauvegardes de données plus longtemps que nécessaire pourrait potentiellement déclencher une violation de l’article 5. Pour rester en conformité, les entreprises doivent s’assurer qu’elles prennent des mesures pour éviter d’inclure des données non anonymisées. données personnelles dans les sauvegardes et peuvent justifier pourquoi ils stockent des données de sauvegarde pouvant contenir des informations personnelles.
Avantages de la conformité RGPD
Le rôle clé que joue la protection des données dans la mise en conformité avec le RGPD contribue à expliquer pourquoi les avantages de la conformité vont au-delà du simple fait d’éviter des amendes. Les entreprises qui se conforment au RGPD bénéficieront probablement de plusieurs avantages.
1. Continuité des activités améliorée
Les technologies et procédures de protection des données aident les entreprises à garantir le respect de l’article 5 du RGPD, qui oblige les entreprises à atténuer le risque de perte accidentelle de données personnelles. Mais la protection des données améliore également la continuité des activités en général en augmentant les chances des organisations de récupérer leurs systèmes critiques et de restaurer rapidement leurs opérations après une violation de données.
2. Un retour sur investissement des données plus élevé
De la même manière, les données protégées dans le cadre d’une stratégie de conformité au RGPD sont conçues pour offrir un retour sur investissement plus élevé à l’entreprise. Les entreprises se blessent financièrement lorsqu’elles investissent massivement dans l’acquisition, le traitement et le stockage de données, pour ensuite perdre ces données définitivement parce qu’elles n’ont pas investi dans des mesures de protection des données, notamment dans la sauvegarde et la restauration. La protection des données continuera à générer un retour sur investissement même si ces données sont perdues ou endommagées tant qu’elles sont récupérables.
3. Une gouvernance des données plus forte
La gouvernance des données, qui se concentre sur la gestion de la disponibilité, de la convivialité, de la sécurité et de l’intégrité des données, aide les entreprises à se conformer aux réglementations telles que le RGPD. Les entreprises conformes au RGPD sont susceptibles d’avoir mis en place une stratégie claire de gouvernance des données, ainsi que des contrôles pour faire appliquer cette stratégie. Les entreprises en profitent à leur tour en raison de leur capacité à rechercher, traiter, protéger et sécuriser les données de manière efficace et évolutive, non seulement pour le bien de la conformité au RGPD, mais aussi pour maximiser et monétiser les ressources de données en général.
4. Migration facile des données
La conformité au RGPD va de pair avec la capacité de déplacer facilement les données entre les systèmes. Lorsque les entreprises protègent leurs données de manière cohérente dans le cadre d’une stratégie de conformité au RGPD, elles mettent en œuvre des méthodes de sauvegarde et de récupération des données qui peuvent être utilisées pour migrer les données d’une plateforme à une autre. Le déplacement d’une base de données actuellement hébergée sur site vers le cloud, par exemple, bénéficie d’un instantané fiable de cette base de données à l’aide des outils déployés pour la protection des données.
5. Augmentation de la découverte et de la transparence des données
Déterminer où les informations personnelles existent pour les protéger de manière adéquate est une étape importante vers la conformité au RGPD. Les capacités de découvrabilité et de transparence permettent à une organisation de mieux positionner, gouverner et sécuriser tous les données régies par le RGPD. De plus, la possibilité de rechercher et d’accéder à d’autres actifs de données peut maximiser davantage la monétisation des données.
6. Réputation en matière de gestion des données
Les entreprises qui se conforment au RGPD démontrent aux régulateurs, aux clients et aux partenaires qu’elles prennent la protection des données au sérieux et qu’elles sont des gestionnaires responsables des données. La conformité au RGPD peut également accroître la fiabilité de la marque et lui donner un avantage sur ses concurrents qui pourraient être considérés par les clients comme des protecteurs de données personnelles moins fiables.
Défis émergents en matière de conformité au RGPD
Bien qu’il y ait de nombreux avantages évidents à investir dans des stratégies, des procédures et des technologies de conformité au RGPD, sachez que la conformité au RGPD devient de plus en plus difficile et oblige donc les entreprises à modifier leurs techniques de conformité.
L’un des défis émergents est l’impact de la technologie de l’IA générative sur la conformité au RGPD. Étant donné que le RGPD a été rédigé et promulgué bien avant que l’IA générative ne devienne courante, il reste difficile de savoir comment les régulateurs peuvent interpréter les pratiques de traitement et de protection des données dans le contexte des outils et technologies d’IA générative.
En conséquence, des fournisseurs comme Microsoft ont choisi d’intégrer l’IA générative dans des plates-formes plus larges pour « fournir des garde-fous autour des modèles », a écrit Alison Close, responsable de recherche chez IDC, dans son rapport sur le potentiel de l’IA générative dans le service client. “Le choix d’OpenAI au sein de Microsoft Azure”, a-t-elle ajouté, plutôt que de déployer des services OpenAI seuls sans garde-fous de conformité, “est de garantir la confidentialité des données et la conformité au RGPD”.
Le suivi des informations personnelles dans plusieurs environnements constitue également un défi majeur, car de plus en plus d’entreprises adoptent plusieurs cloud ou plates-formes informatiques. En fait, il s’agissait du principal défi de conformité au RGPD en Europe en 2022, selon Ralf Helkenberg, responsable de recherche chez IDC. “La visibilité des données est essentielle pour renforcer la conformité en matière de confidentialité”, écrit-il dans son rapport sur les défis de conformité au RGPD en Europe, “mais le suivi des données personnelles dans différents environnements commerciaux s’avère difficile.” Relever ce défi, a-t-il indiqué, nécessitera une utilisation plus étendue des outils automatisés de découverte et de classification des données.
Chris Tozzi est conseiller de recherche adjoint chez IDC, conseiller pour Fixate IO et professeur d’informatique et de société dans une université polytechnique du nord de l’État de New York.