En 2018, une prise de contrôle hostile européenne du monde des affaires mondial a commencé. Vous ne l'avez pas remarqué ? Si votre entreprise fait des affaires avec des entités de l'UE ou contacte des clients de l'UE, il est probable que vous le ressentiez. Le nom de code donné à l'opération de rachat : RGPD. Apparemment, cela touche à tout ce qui concerne la sécurité de l'information et l'utilisation des données personnelles, mais en pratique, cela affecte chaque activité commerciale, partout dans le monde !
Le 25 mai 2018, la directive européenne sur la protection des données est entrée en vigueur (son nom complet est : Règlement Général sur la Protection des Données, mais tout le monde le connaît sous l'acronyme : RGPD). Elle a apporté le changement le plus complet dans la loi sur la sécurité de l'information depuis des décennies et a créé une véritable révolution dans les exigences pour les entreprises qui collectent ou traitent des informations personnelles. Le changement le plus significatif introduit par la directive est l'application d'une responsabilité directe et absolue aux entreprises et aux particuliers qui collectent ou traitent des informations personnelles, afin de maintenir la confidentialité des informations qu'ils recueillent et de justifier légalement leur utilisation.
La directive a adopté un nouveau concept de protection de la vie privée dès la conception (Privacy by Design), en plus de la protection par défaut (Privacy by Default), et son non-respect expose à de lourdes amendes allant de 20 000 euros jusqu'à 4 % du chiffre d'affaires de l'entreprise. Ainsi, la confidentialité de l'information doit être totalement transparente pour le client et planifiée à l'avance de manière proactive, intégrée à la technologie ou au processus de collecte d'informations et garantie automatiquement, sans que le sujet de l'information n'ait à prendre de mesure supplémentaire de sa part pour assurer la sécurité ou la confidentialité des données. De plus, le transfert d'informations sur des citoyens de l'UE hors de ses frontières n'est autorisé que vers un pays ayant été examiné par l'UE et répondant aux critères. D'autre part, même sans transférer d'informations hors de l'UE, la Directive s'applique à toutes les informations concernant des citoyens de l'UE ou des entreprises opérant dans l'UE.
En d'autres termes, si votre entreprise vend des produits ou collecte des informations personnelles de citoyens de l'UE, ou conclut un accord avec une entreprise enregistrée dans l'UE selon lequel vous êtes exposé aux données de ladite entreprise, vous devez vous conformer à la Directive. En fait, même si votre entreprise fournit des services et reçoit des informations uniquement de citoyens israéliens, il suffit que l'un d'eux possède également la citoyenneté européenne (chose courante en Israël) pour que la Directive s'applique à vous.
La plupart des entreprises israéliennes respectent la législation israélienne sur la vie privée et les règlements promulgués en vertu de celle-ci et pensent être à l'abri, mais ignorent que la législation israélienne manque de nombreux éléments de la Directive européenne, tels que le droit à l'oubli, le droit d'une personne de retirer son consentement donné pour le traitement ou l'utilisation de données, ou l'obligation de l'entreprise collectrice de déclarer à ses clients la raison légale justifiant la collecte d'informations en premier lieu. Parallèlement, de nombreuses entreprises israéliennes communiquent avec des entités européennes et collectent des données personnelles sur elles, sans être conscientes que le respect des normes israéliennes ne protège pas contre la violation de la Directive.
Alors, que doivent faire les organisations israéliennes pour répondre aux exigences de la Directive ? Il est conseillé de faire appel à un avocat expert en la matière pour élaborer un plan de mise en œuvre interne, après un audit organisationnel interne visant à diagnostiquer quelles informations personnelles l'entreprise collecte, quels usages en sont faits et quelles raisons légales justifient leur collecte, afin de déterminer si la Directive est applicable. Dans le cadre du plan de mise en œuvre interne, des procédures internes de sécurité et de confidentialité de l'information ainsi qu'une politique de transparence doivent être adoptées ; les politiques de confidentialité et les conditions d'utilisation doivent être mises à jour ; les accords avec les employés et sous-traitants ayant accès aux données doivent être modifiés, et toute autre mesure doit être prise pour éviter le non-respect de la Directive.