Note de l'éditeur : cet article a été publié à l'origine sur www.digitaljournal.com.
Le GDPR est en vigueur depuis environ cinq ans. Le règlement a contribué à protéger les droits de nombreuses personnes, même si les besoins de chacun n'ont pas été satisfaits. Du point de vue des entreprises, le règlement a présenté à la fois des opportunités et des menaces.
Deux experts du monde des affaires expliquent au Digital Journal quels sont ces défis et ce que l'avenir réserve à la réglementation en matière de protection de la vie privée.
Selon Paul Trulove, PDG de SecureAuth, la réglementation doit être renforcée et s'étendre davantage au cyberespace. Trulove fait remarquer : "La protection de la vie privée des consommateurs est une préoccupation majeure depuis l'avènement de l'internet. Outre les problèmes de sécurité évidents, les gens ont commencé à se rendre compte que leurs informations personnelles étaient une marchandise qui était monétisée et exploitée par de grandes entreprises (dont l'intégrité était parfois douteuse). Le GDPR a été la première tentative de grande envergure pour codifier et faire respecter le droit à la vie privée des consommateurs (et des employés)".
Le GDPR a besoin d'une mise à jour pour répondre aux exigences de l'ère numérique. Trulove l'explique ainsi : "Lors de son lancement, la plupart des entreprises se demandaient comment s'y conformer - ou même si elles devaient s'y conformer. Le GDPR était considéré comme un obstacle important pour faire des affaires dans l'Union européenne, au Royaume-Uni et dans d'autres pays qui avaient adopté une législation de type GDPR".
Cela ne veut pas dire que le GDPR n'a pas eu d'impact : "Toutefois, au cours des dernières années, le GDPR est devenu une norme et a changé la façon dont les entreprises parlent de la protection de la vie privée. Il a un impact sur tout, des considérations politiques et juridiques à la conception des produits, en passant par les processus opérationnels. Grâce au GDPR, les protections de la vie privée des consommateurs et des employés ont été normalisées dans l'ensemble du monde de l'entreprise."
En ce qui concerne les technologies qui peuvent prendre en charge le GDPR, Trulove attire l'attention : "L'authentification à deux facteurs n'est pas obligatoire mais préférable pour accéder aux systèmes qui traitent des données personnelles, conformément aux lignes directrices publiées par l'ENISA - l'Agence de l'Union européenne pour la sécurité des réseaux et de l'information - qui conseille les États membres et les organisations du secteur privé dans la mise en œuvre de la législation de l'UE. Cependant, étant donné l'état actuel de l'authentification multifactorielle, qui peut être facilement violée, nous recommandons vivement à l'organisation de sauter le pas et de passer à une authentification plus stricte avec une MFA invisible et d'éliminer les mots de passe".
Le deuxième expert à nous éclairer sur le GDPR est Alastair Parr, SVP of Global Products & Delivery, Prevalent Inc.
M. Parr se penche sur les exigences étendues dans le secteur des entreprises : "Alors qu'il célèbre sa cinquième année d'existence en tant que moteur de changement positif, le GDPR continue d'avoir un impact sur la pratique de la gestion des tiers en faisant de la protection de la vie privée une exigence fondamentale. À cette fin, les équipes chargées de la protection de la vie privée travaillent en étroite collaboration avec les équipes chargées de l'approvisionnement et de la sécurité de l'information, en veillant à ce que les obligations liées au GDPR soient spécifiées et suivies tout au long du cycle de vie des tiers. En conséquence, nous nous attendons à ce que les entreprises deviennent plus aptes à suivre les non-conformités au sein de leurs entreprises étendues".
M. Parr note également l'internationalisation de la philosophie du GDPR, une tendance qui devrait se poursuivre : "De même, nous constatons que les organisations commencent à considérer les obligations en matière de confidentialité des données comme une attente globale, et pas seulement comme une exigence de leurs activités dans l'UE. Par exemple, CCPA, le RGPD 2018 et la LPRPDE présentent tous une grande similitude avec le GDPR, ce qui renforce l'idée qu'il a créé un précédent en matière de bonnes pratiques de protection des données pour les consommateurs et les entreprises."