Alors que nous célébrons le cinquième anniversaire de l'introduction du RGPD, nous examinons l'impact qu'il a eu sur ceux qui effectuent le travail qu'il a le plus affecté. Dan Raywood s'entretient avec cinq personnes exerçant différents rôles en matière de cybersécurité pour comprendre l'impact global sur leur travail.

Jon Baines, DPD, Mishcon de Reya

Quel impact selon vous le RGPD a-t-il eu sur votre rôle au quotidien au cours des cinq dernières années ?

Ce qui manque à beaucoup de gens dans le RGPD, c'est qu'il n'a pas beaucoup modifié la loi existante : la plupart des définitions, principes, obligations et droits existaient déjà en vertu de la directive sur la protection des données de 1995 (mise en œuvre au Royaume-Uni par la loi sur la protection des données de 1998). Ce qui a changé, c'est l'orientation, pour deux raisons principales liées : 1) le système d'application des lois en vertu du Le RGPD a considérablement augmenté les amendes maximales potentielles – au Royaume-Uni, le plafond précédent était de 500,000 20 £, et il est désormais passé à 4 millions d'euros, soit 2 % du chiffre d'affaires annuel mondial, et dans certains pays de l'UE, leurs lois antérieures n'autorisaient même pas du tout l'imposition d'amendes ; XNUMX) Le RGPD a fait l'objet d'une publicité massive (avec le soutien d'un financement important de l'UE), ce qui a conduit à faire de la protection des données un sujet de discussion au sein des conseils d'administration, ce qui était rarement, voire jamais, un sujet auparavant.

La conséquence pour quelqu'un comme moi, agissant à titre de conseiller, c'est que mes services ont été sollicités d'une manière et à une fréquence que je n'avais jamais vues auparavant. Si l’on ajoute les complexités qu’a ensuite apporté le Brexit, avec le maintien du RGPD sous le nom de « RGPD britannique » mais un tout nouveau régime national à prendre en compte, les cinq dernières années ont été mouvementées et difficiles (mais extrêmement intéressantes !)

Évidemment, cela a créé le rôle de DPO. Qu’en est-il des demandes d’accès au sujet ? Cette partie externe de votre rôle est-elle aussi cruciale que la protection interne globale des données en interne ?

Les DPO existaient avant le RGPD. Mais vous avez raison, le RGPD les a statutaires. De même, les DAS n’étaient pas quelque chose de nouveau, et ils avaient un statut légal au Royaume-Uni depuis 1984 (!), et les DPO et les avocats étaient déjà bien habitués à les traiter, mais, pour les raisons évoquées dans la première réponse, les DOS sont devenus beaucoup plus connu après l’entrée en vigueur du RGPD.

De plus, les organisations n’étaient plus autorisées à facturer les faibles frais qu’elles pouvaient auparavant. Les chiffres reçus ont généralement augmenté pour la plupart des organisations, et les plaintes déposées à leur sujet auprès du Commissaire à l'information ont également augmenté.

En tant que personne qui conseille des entreprises clientes externes sur la manière d'y répondre, mais conseille également des particuliers sur la manière de les réaliser, je sais à quel point ils peuvent être difficiles à gérer, à quel point ils peuvent être utiles à ceux qui les réalisent, mais aussi à quel point le processus est frustrant et coûteux. peut être pour les deux côtés. Ils ne vont pas disparaître – le projet de loi actuel sur la protection des données et les informations numériques les conservera, avec probablement des modifications mineures – et ils devraient désormais être considérés comme faisant partie des activités régulières de la plupart, sinon de la totalité, des organisations, ainsi que comme un outil précieux pour individus lorsqu’ils cherchent à faire valoir leurs droits.

Bronwyn Boyle, ancien RSSI et spécialiste de la cybersécurité dans les services financiers

Quel impact selon vous le RGPD a-t-il eu sur votre rôle au quotidien au cours des cinq dernières années ?

Alors que la sécurité a souvent été perçue comme un problème technologique, le RGPD a agi comme un catalyseur pour briser les silos et favoriser une approche plus holistique et collaborative de la sécurité. Cela a rehaussé l'image de la sécurité, les conseils d'administration et les hautes directions exigeant à juste titre un aperçu transparent de la performance continue des contrôles de sécurité et de la gestion des risques associés.

Beaucoup d’entre nous, dans la communauté de la sécurité, ont été ravis de constater un net changement de dynamique. Au lieu de se battre pour faire entendre les messages, les RSSI ont été invités à prendre place à la table et à contribuer à la stratégie organisationnelle.

Dans quelle mesure cette réglementation sur la protection des données et la confidentialité des utilisateurs a-t-elle affecté la sécurité globale des informations ?

Le RGPD offre une fantastique opportunité d’approfondir la collaboration et d’améliorer la compréhension mutuelle entre les organisations. Les équipes commerciales et de sécurité continuent de travailler en étroite collaboration et veillent à ce que les données personnelles soient protégées tout au long de leur cycle de vie. C'est génial de voir comment Le RGPD peut servir de cadre partagé rassembler les nombreuses équipes différentes qui touchent aux données personnelles à différents moments. Je suis ravi de voir comment le RGPD a entraîné un changement durable en améliorant la collaboration interfonctionnelle.

Le RGPD a agi comme un pivot culturel : les employés et les utilisateurs finaux sont devenus mieux conscients de la valeur de leurs données et de la nécessité de les protéger grâce à un comportement sécurisé. Cela continue également de favoriser un meilleur comportement des entreprises, les entreprises étant tenues responsables de toute violation des droits des personnes concernées. Dans le climat actuel d’expérimentation et d’adoption rapide de l’IA gourmande en données, ce type de protection est plus que jamais nécessaire.

Eduardo Ustaran, co-responsable mondial de la pratique Confidentialité et cybersécurité, Hogan Lovells

Quel impact selon vous le RGPD a-t-il eu sur votre rôle au quotidien au cours des cinq dernières années ?

Après le tsunami initial de travail suite à la mise en œuvre du RGPD, les cinq dernières années ont été marquées par une consolidation de questions devenues prioritaires du point de vue de la conformité. Des efforts importants ont été consacrés à l'établissement des bases (des motifs légaux à la transparence), à ​​la protection des droits des individus et, bien sûr, aux transferts internationaux de données.

La partie la plus intéressante du RGPD, d'un point de vue quotidien, a peut-être été de savoir comment maîtriser certaines de ses nouveautés, comme le déploiement analyses d'impact sur la protection des données, aidant les DPD dans leurs responsabilités et répondant aux exigences de notification des violations de données.

Pensez-vous que les gens comprennent de quoi il s’agit, pourquoi il a été introduit et quels sont ses résultats ?

Les gens reconnaissent sans aucun doute que le RGPD rend la protection des données réelle. Tout le monde le sait et en parle, même si tout le monde comprend les nuances et les complexités de la loi, c'est une autre affaire. Avec sa reconnaissance internationale, cela constitue la plus grande réussite du RGPD.

Lorsqu’il existe une réglementation basée sur les risques, il est difficile de comprendre clairement ce que fait cette réglementation, car les mêmes obligations s’appliquent de différentes manières selon les circonstances. Par-dessus tout, il existe une reconnaissance assez universelle selon laquelle le RGPD vise à traiter les informations personnelles de manière responsable et qu’il n’entrave pas le développement technologique ou la conduite des affaires.

Neil Thacker, RSSI, Netskope

Quel impact selon vous le RGPD a-t-il eu sur votre rôle au quotidien au cours des cinq dernières années ?

Le RGPD a eu un impact direct sur mon rôle de RSSI chez Netskope – mais cela a commencé il y a près de sept ans en termes de préparation au RGPD. Même si bon nombre des contrôles fondamentaux n’ont pas radicalement changé par rapport à la DPA britannique, l’importance de la protection et de la gouvernance des données, en particulier pour faire preuve de maturité et de reporting au cours de cette période, a augmenté.

Cette importance a été ressentie non seulement en interne, mais également auprès des fournisseurs tiers impliqués dans le traitement de toute forme de données personnelles. Nous veillons à ce que tous nos fournisseurs répondent à des exigences strictes afin de garantir qu'ils, agissant en tant que sous-traitants ultérieurs, respectent également les normes élevées que nous appliquons en matière de protection des données.

Cela a été une expérience très positive, d'autant plus que nous avons automatisé de nombreuses tâches liées à la gestion des fournisseurs, à la sécurisation des nouveaux flux de données et à la protection des données personnelles au repos et en mouvement.

Dominic Vogel, fondateur et stratège en chef, Cyber.sc

Pensez-vous que le RGPD a eu un impact sur votre façon de travailler au cours des cinq dernières années ?

La réponse courte est absolument ! Mon travail se concentre principalement sur les PME dans l’espace B2B, et il y a une différence de jour comme de nuit dans la manière dont la confidentialité est priorisée. Tous mes clients qui souhaitent être présents en Europe construisent automatiquement en gardant à l'esprit la confidentialité ; même les organisations qui n'ont pas d'activité en Europe peuvent vendre à des organisations qui en ont, et en raison de la manière dont le RGPD s'est intégré à une diligence raisonnable plus large de la chaîne d'approvisionnement, ces organisations se retrouvent dans l'obligation de prouver leur conformité au RGPD.

A-t-on compris ce que le RGPD visait à réaliser en dehors de l’Europe ?

Dans une certaine mesure, la compréhension varie certainement selon le secteur : certaines PME ont désormais mis en place de solides programmes de confidentialité et intègrent la confidentialité dès la conception. Ce n'était pas le cas auparavant. Le RGPD a lancé une ère plus significative de discussions sur la confidentialité ici en Amérique du Nord. En conséquence, nous constatons une amélioration et une modernisation des lois et des lois sur la protection de la vie privée.

Certaines spéculations suggèrent que d’autres réglementations pourraient être créées pour reproduire le RGPD. Voyez-vous des preuves directes de cela ?

Je ne dirais pas que j'ai vu des « preuves directes », mais comme la technologie évolue et évolue rapidement (l'IA, ça vous tente ?), il est nécessaire de maintenir les lois sur la confidentialité comme le RGPD à jour et à jour. Nous ne pouvons plus rédiger de lois sur la protection de la vie privée qui resteront inchangées pendant des décennies. Ils devront être plus agiles et actualisés plus souvent pour suivre le rythme de la technologie.

Réflexions finales

En réfléchissant à l’impact du RGPD, il est clair que ce règlement a entraîné des changements transformateurs dans les pratiques de protection des données dans le monde entier. Le RGPD a responsabilisé les individus, fixé des normes plus élevées et favorisé un dialogue mondial sur la confidentialité et la sécurité des données.

L'harmonisation des lois sur la protection des données dans les États membres de l'UE a constitué une réussite importante, fournissant un cadre unifié aux entreprises et aux professionnels de la vie privée. Il simplifie les efforts de conformité et garantit des normes cohérentes au-delà des frontières et pour les entreprises. Cette harmonisation devrait servir de modèle pour poursuivre la normalisation, améliorer l'application des réglementations et permettre une meilleure compréhension et application des réglementations.

Avec plus de 140 confidentialité des données Les réglementations en vigueur aujourd'hui à l'échelle mondiale, cependant, il y a peu d'harmonisation pour les entreprises qui doivent se conformer ou démontrer leur conformité à ces nombreuses réglementations régionales et spécifiques à chaque pays en dehors de celle du RGPD. Au cours des cinq prochaines années, la gestion de la complexité de la conformité constituera un défi permanent.

Même si les défis en matière de conformité peuvent sembler intimidants, il est essentiel de reconnaître la valeur d’un logiciel de gestion de la conformité efficace. Mise en œuvre robuste de logiciel de conformité rationalise les processus, élimine les tâches répétitives et permet aux organisations de se concentrer sur des divergences de conformité spécifiques. En tirant parti des logiciels de conformité, les entreprises peuvent économiser un temps et des ressources précieux, améliorer leur efficacité interne et fournir aux régulateurs des preuves de conformité.

La semaine où Meta a reçu une amende de 1.2 milliard de dollars pour violation du RGPD, cela constitue un rappel opportun pour les organisations de donner la priorité à la conformité. Cela envoie également un message clair : mettez de l’ordre dans votre maison ! Les organisations qui exécutent correctement cette démarche bénéficieront d’avantages bien au-delà de la conformité réglementaire. Une bonne sécurité informatique est une bonne affaire.