Thomas Kuhn, éminent philosophe et historien des sciences américain, expliquait en substance dans son ouvrage « La Structure des révolutions scientifiques » que lorsqu’une norme fait état d’anomalies et que ces anomalies deviennent importantes, il induit alors que la norme doit être remise en question, et qu’une nouvelle norme devient nécessaire.
C’est sur ce paradigme que le règlement général sur la protection des données (RGPD) trouve ses origines. Avec une volumétrie croissante des données, des incidents qui se sont multipliés ces dernières années et une circulation mondialisée de l’information personnelle, la mise en place d’un nouveau cadre de protection des données devenait inéluctable.
Transparence, responsabilité et traçabilité sont les clés du RGPD : les organisations qui collectent des données personnelles, devront désormais mettre en place des mesures qui garantissent la sécurité, la portabilité, l’intégrité et la traçabilité des données des citoyens européens.
A l’heure où les premières sanctions tombent, il y a nécessité pour les organisations à prendre conscience de l’importance des données personnelles qu’elles collectent, et ainsi se mettre en conformité. Au vu de la volumétrie exponentielle des informations personnelles qui transitent, ce paradigme pourrait évoluer à très court terme.
Expertise et un investissement
Alors que le RGPD doit être appliqué auprès des organisations depuis le 25 mai dernier, nombreuses sont encore celles, notamment start-up, petites et moyennes organisations, qui accusent des interrogations et un retard dans leurs dispositifs de mise en conformité ; par manque de moyens ou de temps.
En effet, elles comprennent l’objectif recherché par cette nouvelle réglementation et l’harmonisation nécessaire au niveau européen du cadre de protection des données personnelles. Mais, pour y répondre et éventuellement la considérer en opportunité, elles n’ont souvent que deux moyens : allouer du temps en interne pour se documenter ou faire appel à un accompagnement externe.
Dans les deux cas, cela nécessite une expertise et un investissement en temps et en moyens qui peut s’avérer significatif, ce qu’elles ne peuvent pas toujours se permettre, étant « driver » par le développement de leur business, et n’ayant pas forcément les ressources d’une grande organisation. Ainsi, beaucoup peinent encore à suivre le rythme du calendrier du législateur.
Et pourtant, au-delà des sanctions prévues par l’autorité de régulation en cas de manquement à ces nouvelles obligations, le RGPD reste qu’une première étape vers un contrôle renforcé des données, personnelles ou non, qu’elles collectent.
Plus vite elles adopteront les bonnes méthodes et réflexes en matière de traitement des données qu’elles collectent, mieux elles seront prêtes pour appréhender de futures législations telles que la directive ePrivacy (qui traite du consentement préalable et de la géolocalisation notamment).
Enjeux de demain
Si le RGPD concerne uniquement les personnes physiques, demain, il devrait logiquement s’étendre aux personnes morales. Il semblerait logique qu’à l’avenir, le cadre de protection des données évoluera vers des formes plus technologiques.
Badis Matallah, Strategic Advisor Inferensia
