Se conformer aux nouvelles normes de l’Union européenne en matière de protection des données comporte des avantages supplémentaires

Le Règlement général sur la protection des données (RGPD) de l’Union européenne, qui entrera en vigueur en mai 2018, établira des exigences mondiales qui définiront la façon dont les sociétés menant des activités dans l’Union européenne devront gérer et protéger les renseignements personnels des citoyens.

CERTAINES SOCIÉTÉS SONT MIEUX PRÉPARÉES QUE D’AUTRES À SE CONFORMER AU RGPD

Selon un sondage de Marsh mené l’été dernier, bien qu’il ne reste que quelques mois avant l’entrée en vigueur du RGPD, seulement 8 % des sociétés qui y seront assujetties affirment être entièrement conformes. Près d’un tiers des répondants ont affirmé que leur société n’avait pas encore établi de plan pour se conformer au règlement ou qu’ils n’étaient pas au courant de telles mesures. Quels facteurs pourraient expliquer cette situation?

Parmi les facteurs possibles, notons la taille des sociétés. En général, les répondants des grandes sociétés ont affirmé se conformer davantage au RGPD. Celles-ci ont généralement plus de ressources à investir dans l’établissement de mesures de conformité, ainsi qu’un type de gestion pouvant favoriser l’adoption de ces mesures.

Situation géographique : De nombreuses sociétés qui ont adopté des mesures en matière de conformité mènent également des activités importantes aux États-Unis, pays qui applique de façon soutenue des pratiques bien définies en matière de protection des données et des politiques de signalement en cas de violation des données. Par conséquent, ces sociétés sont plus susceptibles d’avoir déjà adopté des mesures en matière de conformité – et peuvent plus facilement s’adapter aux exigences du RGPD.

Investissement :  Outre la situation géographique et la taille de l’organisation, d’autres facteurs sont à prendre en compte. Certaines sociétés peuvent se sentir submergées par l’ampleur de la tâche à accomplir. Le RGDP exige plus qu’un simple contrôle; les sociétés doivent redéfinir leurs pratiques de gestion des données. Elles doivent adopter une approche globale; les dirigeants doivent prendre le temps d’analyser l’incidence du RGPD sur les activités de l’entreprise, les activités touchées par la conformité au RGPD et la façon dont ce règlement affecte la cyberassurance et d’autres secteurs d’activités.

LA PORTÉE SIGNIFICATIVE DU RGDP

Par ailleurs, de nombreuses sociétés peuvent ne pas réaliser pleinement qu’elles doivent se conformer au RGDP, particulièrement dans les industries où la collecte de données n’est pas reconnue comme une activité courante. Par exemple, des entreprises de fabrication, dans les industries de l’automobile et des produits chimiques notamment, affirment être moins bien préparées que les sociétés dans d’autres secteurs.

En réalité, presque toutes les entreprises accordent désormais une grande importance à la collecte de données, car même les activités des sociétés qui ne collectent, ne détiennent ou n’analysent pas directement les données des clients pourraient être perturbées si un de leurs fournisseurs clés était victime d’une cyberattaque.

Enfin, les organismes de réglementation nationaux doivent définir de nombreux éléments du RGPD. En outre, certains répondants qui affirment avoir pris de nombreuses mesures pour se conformer au RGPD pourraient hésiter à affirmer s’y être entièrement conformés. Parallèlement, les sociétés qui n’ont pas commencé à se préparer peuvent attendre que d’autres précisions soient annoncées.

DE NOUVELLES RÈGLES ENCOURAGENT LES SOCIÉTÉS À AMÉLIORER LEURS PRATIQUES LIÉES AUX CYBERRISQUES

Le sondage a également montré que les sociétés qui prennent les mesures nécessaires pour se conformer au RGPD commencent à observer un avantage important sur le plan de la croissance et de l’innovation en gestion des cyberrisques. Avant même son entrée en vigueur, le RGPD encourage les sociétés à adopter des protocoles de protection des données plus rigoureux et à moderniser leurs pratiques commerciales pour se positionner dans un monde où la protection des données est un enjeu de premier plan.