Connect with us

Technologie

Brexit et risques pour la confidentialité et la gouvernance des données

Published

on


Les entreprises ont été tellement préoccupées par les défis posés par Covide-19 – fournir un travail à distance du jour au lendemain, ramener les gens dans les bureaux en toute sécurité et en toute sécurité, et les insécurités potentielles de l’emploi – qu’elles ont été distraites par le Brexit. Mais à moins de deux mois de la fin de la période de transition, le 31 décembre 2020, les entreprises se retrouvent avec une série de défis en matière de protection des données, de protection de la vie privée et de gouvernance.

Même sans le Brexit, le paysage de la gouvernance des données a ses défis, et les meilleures pratiques s’appliquent toujours. Même si les organisations sont sur leur cheminement de protection des données, le Royaume-Uni qui se prépare à quitter l’UE est l’occasion de prendre des mesures clés avant la fin de la période de transition pour ne pas se faire prendre.

Voici quelques-unes des considérations relatives aux risques liés à la protection des données auxquels les organisations ne peuvent pas – mais devraient – être préparées avant le début de l’année.

Le déplacement des données personnelles entre différents endroits est un domaine crucial à considérer par les entreprises. Ils ont besoin d’une vision claire de la logistique autour des transactions de données, où ils les stockent et les règles et règlements en conséquence, en particulier (mais pas exclusivement) comment ils interagissent avec leur base de clients.

Les transferts du Royaume-Uni vers d’autres pays peuvent se poursuivre dans le cadre des arrangements existants, du moins pour l’instant. Mais les entreprises de l’UE doivent être prêtes à répondre à une série de scénarios de partage et de stockage de données. Dans l’ensemble, ces questions couvrent trois domaines clés : Où puis-je stocker mes données? Quels pays peuvent consulter mes données ? Dans quels pays puis-je traiter les données ?

Selon les réponses, les organisations pourraient avoir besoin d’envisager des solutions technologiques qui fournissent le bon niveau de gouvernance et de soutenir des concepts tels que l’anonymisation ou l’obscurcissement (suppression des données) pour leur permettre de continuer à gérer les opérations et les performances.

Quelle que soit l’application, il est probable que les entreprises devront mettre à jour leur documentation et leur avis de confidentialité afin de couvrir expressément les transferts de données qui en résulteront et de formuler un plan de communication pour aviser les personnes concernées des avis de confidentialité mis à jour.

Pensez à votre écosystème

Les entreprises doivent également considérer leur écosystème de données comme faisant partie de leur stratégie de gouvernance. Il est primordial de s’engager avec des organisations tierces qui font partie de leur chaîne d’approvisionnement afin que la transparence des transactions de données soit répandue et que la conformité soit respectée entre les juridictions.

Une fois de plus, la responsabilité s’étend au-delà du traitement que l’on effectue et donc les mêmes questions sur le partage, l’affichage et le traitement des données s’appliquent. Les contacts d’une entreprise relèvent-ils des dispositions de la Commission européenne en matière d’adéquation ou lui fournissent-ils les garanties dont elle a besoin? De plus, comment l’entreprise obtient-elle confiance dans son respect de ces garanties? Que les entreprises utilisent des clauses contractuelles standard ou des conditions plus précises, celles-ci doivent être justes.

Si l’entreprise reçoit des données personnelles d’un pays, d’un territoire ou d’un secteur visé par une décision d’adéquation de la Commission européenne, la transparence s’étend à la façon dont l’expéditeur des données se conformera à ses lois locales sur les transferts internationaux.

GDPR, PECR et autres initiatives de conformité

L’interaction entre la législation clé de l’UE – le Règlement général sur la protection des données (GDPR), le Règlement sur la protection de la vie privée et les communications électroniques (PECR), la directive sur le commerce électronique – et le Brexit introduira certaines complications qui doivent être envisagées avant la fin de l’année.

Il s’agit notamment de la nomination d’un représentant dans l’UE, de l’identification d’une autorité de surveillance de l’UE (SA) en tant qu’autorité principale, des modalités d’une nouvelle autorité responsable des règles d’entreprise contraignantes basées dans l’UE ou de l’accessibilité d’un agent de protection des données (DPO) basé au Royaume-Uni à tous les sujets de données dans l’UE. En outre, il est également possible que des amendes multijuridictionnelles soient imposées aux infractions matérielles Et données de l’UE.

Les organisations doivent faire le point sur les données à caractère personnel qu’elles détiennent pour faire la distinction entre les données acquises avant la fin de la période de transition et après afin de se conformer à la législation de l’UE en matière de protection des données ou aux dispositions de protection des données d’un accord de retrait.

Alors que d’autres initiatives de conformité – telles que les règles du PECR – continueront d’appliquer la directive sur le commerce électronique ne s’appliqueront plus au Royaume-Uni à la fin de la période de transition, les organisations pourraient donc devoir s’assurer qu’elles sont conformes aux exigences pertinentes dans chaque pays de l’UE où elles opèrent. Les entreprises doivent être claires sur la façon dont elles gèrent leur programme de conformité à l’avenir, d’autant plus que le Royaume-Uni et l’Europe disposent d’un système à deux vitesses.

FondsIl reste essentiel que les entreprises disposent de l’information dont elles ont besoin pour suivre où se trouvent leurs actifs de données et comment les données entrent, autour et hors de l’organisation. Le GDPR fournit le cadre pour que les entreprises puissent gérer cette situation et s’assurer qu’il fonctionne bien et qu’il est bien compris par le personnel.

Possibilité de réfléchir

En plus des exigences réglementaires et de la réponse immédiate au Brexit, les entreprises ont l’occasion de réfléchir aux données qu’elles recueillent, d’examiner à quoi elles servent exactement, de suivre une formation de sensibilisation précoce sur les implications du Brexit pour les fonctions clés afin de les tenir au courant des changements potentiels et de décider s’ils investissent ou non dans la technologie pour l’analyser correctement. Par exemple, il existe des outils pour anonymiser les données recueillies et effectuer des analyses, tout en préservant l’anonymat des individus.

Le Brexit ne devrait pas consister à empêcher les entreprises d’arrêter ce qu’elles faisaient auparavant, mais à veiller à ce que les mesures de prudence soient prises pour répondre aux exigences modifiées.

Regard vers l’avenir

En fin de compte, le Brexit ne change pas notre responsabilité de protéger les données des individus, et il reste une partie fondamentale et intégrale de la façon dont le Royaume-Uni fait des affaires. Ce qu’il fait, c’est changer les mécanismes sur lesquels nous nous sommes déjà appuyés et exige peut-être que les entreprises aient une vision claire et une compréhension de ce qu’elles font avec leurs données.

L’environnement réglementaire dans l’UE est également en train de changer. La récente décision de la Cour de justice européenne sur Schrems II a annulé l’accord UE-US Sur le bouclier de protection de la vie privée et remis en question certains éléments de clauses contractuelles standard. La DG Justice, la branche de la Commission européenne responsable, a récemment lancé une consultation sur la façon dont les entreprises utilisent les clauses contractuelles standard en réponse à la décision. Les entreprises devraient être en mesure de modifier à l’avenir l’environnement réglementaire régissant la protection des données.

L’organisme de réglementation ne fera que se concentrer davantage et, par conséquent, le monde dans lequel nous vivons aujourd’hui sera un environnement beaucoup plus réglementé afin que le Royaume-Uni continue d’être compétitif et de protéger les données des consommateurs.

Paul Smith est associé associé en conseil en risques chez EY UK&I; Krittika Singh est consultante principale en conseil en risques chez EY UK&I.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending