Cette année, l’accent sera mis de plus en plus sur les réglementations en matière de protection de la vie privée, la conformité et le stockage en nuage – en particulier sur l’endroit et la manière dont les données sont stockées, ainsi que sur les obligations en matière de protection et de sécurité des données personnelles.
La question se pose également de savoir dans quelle mesure l’UE et le Royaume-Uni s’écarteront l’un de l’autre en ce qui concerne le règlement général sur la protection des données (RGPD) et d’autres réglementations.
La mesure de cette divergence sera ce que l’UE appelle « l’adéquation des données », c’est-à-dire un niveau de protection des données personnelles équivalent à celui déjà prévu par la législation européenne.
Cependant, avec l’instabilité géopolitique croissante, il est également nécessaire de réfléchir à la manière dont les réglementations en matière de protection des données vont évoluer.
Le CSRD et son application aux entreprises technologiques britanniques – L’heure tourne pour la CSRD – votre service informatique est-il prêt ?
Changement de réglementation
L’évolution de la réglementation peut avoir une incidence sur la manière dont les données peuvent être stockées et sur l’endroit où elles peuvent être conservées. Aucune organisation ne souhaite subir une perte ou une violation de données, c’est pourquoi elle doit être préparée au changement et aux circonstances inattendues. Cela inclut les revirements sur les politiques gouvernementales proposées, tels que le retour en arrière du gouvernement britannique sur la révision ou la suppression des lois et réglementations de l’Union européenne.
Le Financial Times a récemment rapporté que la majorité des quelque 4 000 textes de loi de l’UE qui ont été conservés resteraient dans le corpus législatif du Royaume-Uni, ajoutant que 800 autres seraient supprimés d’ici à la fin de 2023. De tels changements de politique, que l’on soit pour ou contre le Brexit, créent de l’incertitude pour les entreprises sur la meilleure façon d’investir leur argent durement gagné.
D’aucuns craignent également qu’ils n’entraînent la perte de certaines protections essentielles.
Il s’agit notamment de la manière dont les réglementations en matière de protection de la vie privée seront affectées, d’autant plus que l’on s’interroge de plus en plus sur la question de savoir si les mêmes réglementations existeront dans le monde entier. Pour l’instant, il n’y a pas d’uniformité – il existe des réglementations disparates dans les juridictions du monde entier.
La question se pose également de savoir s’il existe réellement des réglementations en matière de protection de la vie privée.
Le gouvernement britannique, par exemple, veut vendre des données sur les consommateurs à de grandes sociétés pharmaceutiques, et il n’est pas le seul à le faire.
Les meilleurs outils de conformité informatique pour votre entreprise – Antony Savvas présente quelques-uns des meilleurs outils et méthodes de conformité informatique qui conviennent à tous les types d’entreprises.
Protection universelle des données
En l’absence d’un ensemble universel de règles en matière de protection des données et de la vie privée, les problèmes liés aux données entre l’UE et les États-Unis persistent. En particulier lorsqu’il s’agit du lieu de stockage des données (résidence des données) et de la transmission des données. La circulation des données entre les États-Unis et l’Union européenne a fait l’objet d’une directive sur la protection de la vie privée. Shield, conçu pour permettre aux États-Unis et à l’Espace économique européen (EEE) de partager librement les données personnelles des citoyens de l’EEE, comme si les États-Unis disposaient d’une décision d’adéquation.
Les deux juridictions estiment que cela n’a pas bien fonctionné. La Cour de justice de l’Union européenne a annoncé que le cadre du bouclier de protection de la vie privée « ne protège pas efficacement les personnes concernées de l’EEE » contre l’interférence et l’utilisation des données personnelles par les autorités de renseignement américaines et l’a déclaré invalide en 2020. Le président américain Joe Biden a abrogé la législation relative au bouclier de protection de la vie privée en signant un décret en janvier 2020, mettant ainsi fin au bouclier de protection de la vie privée initial.
La Commission européenne a toutefois approuvé son successeur, le Privacy Shield 2.0, en décembre dernier, et l’on espérait qu’il entrerait en vigueur au printemps.
Sécurité des données
Avec l’augmentation des volumes de stockage dans le nuage et l’augmentation exponentielle des cyber-attaques, les organisations et les particuliers veulent être sûrs que leurs données sont en sécurité. Les fuites dans le nuage sapent la confiance dans le fait qu’une fois que les données sont dans le nuage, elles sont forcément sûres. En tant que consommateurs sur le marché mondial, où que nous fassions nos achats, les protections des données et les réglementations en matière de protection de la vie privée seront différentes. Alors, comment les gérer ? C’est une tâche complexe.
Steven Umbehocker, PDG d’OSNEXUS, explique que le GDPR vise à protéger les consommateurs. Il doit leur permettre de contrôler le traitement et le stockage de leurs données personnelles.
« Cela nous donne l’assurance que les entreprises traitent nos données avec soin, ce qui peut nous protéger contre les cyber-attaques », explique-t-il.
Son collègue Joshua Newington-Blake, ingénieur support principal EMEA chez OSNEXUS, ajoute que « cela profite au client en lui permettant de contrôler l’endroit où les données sont stockées, la manière dont elles sont gérées et l’usage qui en est fait ».
L’Amérique est un « Far West
Pourtant, M. Umbehocker affirme que la souveraineté des données reste une question clé, décrivant les États-Unis comme étant plus « Far West » que l’UE en ce qui concerne la protection des données et les réglementations en matière de vie privée. Cela est dû au fait qu’il n’y a pas d’équivalent fédéral du GDPR, dit-il.
Il explique que bien que les États-Unis disposent de réglementations disparates en matière de données dans les domaines de la santé et de la finance, il n’existe pas de législation globale sur la protection des données. « Heureusement, la situation est en train de changer avec la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), qui tente de faire quelque chose comme le GDPR, ce qui est un bon début.
Traînée GDPR au Royaume-Uni
On s’interroge sur la date d’entrée en vigueur du nouveau GDPR britannique. À mon avis, il semble que le gouvernement britannique va abandonner ce projet, ainsi que des milliers d’autres réglementations de l’UE qui sont censées être caduques. Il est donc difficile pour les organisations de planifier à l’avance, ce qui crée de nouveaux défis en matière de protection des données et de respect de la vie privée.
Cette incertitude pourrait aggraver la protection des données et de la vie privée. Il sera intéressant de voir comment le Web 3.0 modifie la vie privée des consommateurs. Serons-nous responsables de nos propres données ? Les gens voudront-ils nous acheter directement nos données ? Cela empêcherait les gens de s’enrichir en vendant nos données, mais nombreux sont ceux qui ne savent pas sécuriser nos données personnelles aujourd’hui.
M. Umbehocker souligne que certains types de données seront, par exemple, souverains au Royaume-Uni et dans l’UE. Cela dépend si les individus ou les clients sont britanniques ou européens citoyens britanniques ou européens. Cela signifie que certains types de données ne peuvent être stockés que dans ces juridictions.
Il ajoute : « Cela aura un impact sur les entreprises technologiques : Nous devons nous assurer que nous savons où résident les données et être en mesure de les déplacer de manière dynamique. Cela crée des défis coûteux en matière de migration des données, et vous devez le faire sans avoir d’impact sur les logiciels et les plateformes. Dès que l’on commence à déplacer de grandes quantités de données sur un réseau étendu [WAN]il faut le faire de manière efficace, et c’est là que l’accélération WAN entre en jeu ».
Dans certains secteurs, tels que les soins de santé et les services financiers, la conservation et la protection des données personnelles et sensibles sont primordiales. La perte ou le vol de ces données affecte à la fois leurs organisations et leurs clients. Pour être conformes, les données doivent donc être cryptées à la source et sauvegardées sur au moins trois sites. La non-conformité au GDPR en raison d’une violation de données peut également entraîner des amendes importantes pouvant aller jusqu’à 17,5 millions de livres sterling dans le cadre du GDPR britannique, 20 millions d’euros dans le cadre du GDPR européen ou 4 % du chiffre d’affaires annuel mondial.
Tirer parti du cryptage
Joshua Newington-Blake explique que le cryptage peut être utilisé pour protéger les données. Cependant, certaines technologies telles que l’optimisation des réseaux étendus ne peuvent pas gérer les données cryptées, bien qu’elles soient souvent critiques.
De plus, en gardant à l’esprit la souveraineté des données, M. Umbehocker explique qu’il peut y avoir des circonstances dans lesquelles les organisations peuvent avoir besoin de supprimer une copie de leurs données stockées dans le nuage dans une zone particulière ou de déplacer des données vers une autre juridiction afin de garantir la conformité. Cela signifie que les organisations doivent être pleinement conscientes de l’emplacement physique des données et qu’elles doivent disposer d’un mécanisme permettant de les déplacer sans perturber les utilisateurs.
Accélération de la localisation et du réseau étendu
Umbehocker et Newington-Blake concluent tous deux que la solution pour protéger les données en les déplaçant rapidement est l’accélération du réseau étendu. Si les organisations n’ont pas la capacité de déplacer les données rapidement, les transferts de données volumineuses peuvent prendre des mois, en fonction de la quantité de données concernées. L’accélération du WAN avec une solution telle que PORTrockIT de mon entreprise rend cet exercice beaucoup plus facile et plus rapide – même avec des données cryptées, quel que soit l’endroit où elles résident dans le monde.
Cette technologie utilise l’intelligence artificielle, l’apprentissage automatique et la parallélisation des données pour atténuer les effets de la latence et de la perte de paquets.
Selon M. Umbehocker, « en fonction de la latence, ce qui serait fait en 100 jours pourrait l’être en 10 jours, ce qui pourrait avoir un impact considérable sur la stratégie de cloud computing. Il offre plus d’agilité et d’élasticité.
« Lorsque les choses ont changé, comme un changement de lois dû au Brexit, et que vous n’avez pas un taux de transfert de données qui peut s’adapter – votre organisation pourrait finir par faire face à des amendes importantes. Il s’agit d’être flexible, et c’est possible grâce à l’accélération WAN. »
Plus vous pouvez transférer rapidement des données, plus vous êtes protégé ; moins il y a de chances que les données soient interceptées. Des transferts plus rapides aideront les organisations à respecter la conformité des données en matière de confidentialité et de protection, tout en permettant aux données de résider à distance, n’importe où dans le monde.
David Trossell est PDG et directeur technique de Bridgeworks.
En savoir plus sur la conformité des données
Comment la réglementation des grandes technologies peut affecter votre entreprise – Le projet de loi britannique sur la sécurité en ligne et la loi européenne sur les services numériques sont conçus pour réglementer les grandes technologies, mais il y a la question des conséquences légales mais néfastes et involontaires qui peuvent affecter votre entreprise.