Protection des données – Les entreprises peinent à se conformer au RGPD

Plus que jamais, le Règlement général sur la protection des données (RGPD) est d’actualité. Applicable dans 28 États membres de l’Union européenne depuis le 25 mai, ce règlement, qui constitue le texte de référence en matière de la protection des données personnelles, revêt une dimension extraterritoriale, ce qui la rend pertinente à chaque pays. 

Ces dernières semaines, à travers le monde, des organisations mettent à jour leurs politiques de confidentialité et de collecte de données. Et Maurice ne fait pas exception. Pour s’aligner sur les dispositions du RGPD, le pays a adopté une nouvelle version de la Data Protection Act en 2017. Or, il y a une certaine précipitation et, dans une grande mesure, les entreprises ne font pas les changements en profondeur qui leur permettraient de se conformer au RGPD, estime Jatinder Kumar, directeur de 2MTech Services. Cette société offre une gamme de services allant du Microsoft Cloud aux solutions de sécurité informatique avec le soutien d’une équipe légale. 

«De nombreuses entreprises sollicitent encore notre expertise pour être en conformité avec le RGPD. Cependant, très peu arrivent à l’être même si elles ont déjà fait une partie du travail. Cela pour la simple et bonne raison qu’elles pensent que le RGPD s’arrête à la technologie», souligne Jatinder Kumar. Il s’agit là d’une grande erreur que la plupart des compagnies et aussi des particuliers sont en train de faire. Car, fait-il ressortir, «la protection des données s’applique à l’aspect humain et aux processus qui entrent en jeu dans le traitement des données, que ce soit par les employés ou des tiers». 

Par exemple, qu’en est-il du coursier à qui l’on confie la responsabilité de déposer du courrier contenant des documents personnels ? Pour Jatinder Kumar, le RGPD s’applique à ce genre de cas également. Idem pour les employés qui restent au bureau au-delà de leurs heures de travail et qui peuvent accéder à des données de l’entreprise et des clients. «Qu’est-ce qui est fait pour sécuriser ces données dans des cas pareils ? Outre la mise à jour de leur système informatique, les entreprises doivent prendre d’autres mesures pour protéger les données de leurs clients. Par exemple, elles peuvent confier la responsabilité de la livraison des courriers à des compagnies de sécurité», ajoute-t-il.

Les lourdes amendes imposées par le GDPR en font une réglementation sérieuse qu’aucune organisation ne devrait ignorer. En effet, en cas de non-respect, la sanction prévue sous le RGPD est une amende maximale de 20 millions d’euros ou 4 % du chiffre d’affaires annuel global de l’organisation au cours de l’année précédente. Et Jatinder Kumar de préciser que dans tous les cas, une infraction à la protection des données sera jugée en vertu de la Data Protection Act.