Le 25 mai 2018, le Règlement général sur la protection des données (GDPR) entre en vigueur. Il s'appliquera ensuite à ceux d'entre nous dans le monde entier qui font des affaires avec des clients dans l'Union européenne. En tant que région, l'UE est le troisième partenaire commercial mondial de l'Afrique du Sud, nous y prêtons donc certainement attention.
Il convient de souligner qu'il est en principe essentiel que les lois sur la protection des données évoluent avec leur temps, en particulier dans un monde numérique et transfrontalier où vos données personnelles sont stockées dans le cloud, potentiellement n'importe où dans le monde, même si vous traitez avec une entreprise locale. Je suis, autant que quiconque, agacé par les appels marketing non sollicités incessants et le courrier direct. Et nous avons vu suffisamment de violations de données récemment pour savoir qu'elles constituent une menace très réelle, et que les entreprises devraient être tenues de les signaler rapidement afin d'en minimiser l'impact.
Le diable se cache cependant dans les détails, et le fardeau imposé aux petites et moyennes entreprises — ostensiblement le moteur des économies qui veulent croître — est potentiellement paralysant. Selon la Banque mondiale, les PME formelles contribuent jusqu'à 60 % de l'emploi total et jusqu'à 40 % du revenu national (PIB) dans les pays émergents. En Afrique du Sud, les PME ont contribué à 36 % du PIB en 2017, et le gouvernement a fondé ses espoirs sur ce secteur pour qu'il génère 9 nouveaux emplois sur 10 d'ici 2030.
Alors, quel est le problème ?
En Afrique du Sud, nous préparons également la mise en application de notre propre loi locale sur la protection des données, la Protection of Personal Information Act, affectueusement connue sous le nom de POPI. Et pour assurer la conformité, les grandes entreprises sud-africaines commencent à s'organiser. Cependant, il semble que ce que cela se traduit concrètement, c'est que les grandes entreprises (avec apparemment des ressources humaines et des budgets illimités) imposent leurs protocoles de conformité à leur chaîne d'approvisionnement en leur indiquant qu'elles doivent les mettre en œuvre ou être enregistrées comme non conformes. Il faut se demander si le fournisseur, généralement une PME, peut réalistement et financièrement répliquer les protocoles de sécurité de ses clients plus importants.
Et puis arrive le double coup dur. Entrez grand client numéro deux, avec un volume similaire de protocoles de conformité, sauf qu'ils ne sont que similaires, pas identiques à ceux du premier client. Pour illustrer, supposons que le grand client numéro un insiste sur les badges de sécurité pour votre personnel afin de contrôler l'accès à votre bâtiment, mais que le grand client numéro deux insiste sur la sécurité biométrique. Vous attendez-vous vraiment à mettre les deux en place pour être conforme à chaque client ? Et ensuite demander à votre personnel de sauter par-dessus tous ces obstacles juste pour entrer dans le bâtiment ?
Je suis en train d'examiner un certain nombre de contrats de plus de 40 pages pour assurer la conformité POPI auprès de plusieurs de nos clients de premier plan, et je peux confirmer que, pour assurer la conformité dans l'ensemble, il n'est pas entièrement improbable que, par exemple, nous devions effectivement installer des lecteurs d'empreintes digitales et de rétine dans nos bureaux pour répondre aux exigences spécifiques de contrôle d'accès prescrites. Ou que nos employés et consultants ne puissent jamais emporter leurs ordinateurs portables chez eux — et s'ils le faisaient, ils devraient être transportés par une société de sécurité. Je ne suis pas sûr de ce que ces exigences impliqueraient pour le contrôle d'accès et d'autres conformités dans les domiciles des employés, ni pour les smartphones, qui appartiennent généralement aux employés et ont pleinement accès, grâce au cloud, à la plupart des informations disponibles via un ordinateur portable.
Cela semble ridicule, mais ce n'est pas impossible au vu de la manière dont POPI est mis en œuvre sur le terrain, et du fait qu'en tant qu'entreprise, nous ne pouvons tout simplement pas nous éloigner de nos plus grands clients. Nous ne pouvons pas non plus risquer la non-conformité, où les pénalités seraient un point de rupture pour les PME. L'amende pour contravention à POPI est de R10 millions (environ GBP600 000), et peut-être que nous nous en tirons à bon compte quand on considère que les amendes pour contravention au GDPR sont de EUR20 millions (environ GBP18 millions) ou 4 % du chiffre d'affaires mondial. Aïe ! Je ne connais pas beaucoup de PME qui pourraient y faire face ! La dépense et la praticabilité mises à part, ces exigences vont également à l'encontre des pratiques de travail modernes, qui permettent la collaboration, réduisent les distances et le besoin de temps et de coûts de déplacement. Je fais bien sûr référence aux nouvelles technologies qui entrent dans et transforment notre environnement de travail quotidien, comme la vidéoconférence, le partage d'écran et de machines via le web, et la possibilité de réunir la meilleure équipe, depuis n'importe où dans le monde, pour travailler sur des projets spécifiques. Ce sont exactement le genre d'avantages que les PME agiles et les entrepreneurs indépendants offrent aux grandes entreprises, et pourtant ils seront effectivement interdits par l'approche des grandes entreprises, « ceinture et bretelles », à la mise en œuvre de cette législation.
Ainsi, si je suis d'accord avec la nécessité de la sécurité des données, j'ai l'impression que l'approche législative est un pas en avant et deux pas en arrière, et que nous avons trop penché du côté de la protection des données individuelles, au détriment de la construction de nos avenirs numériques. Peut-être avons-nous besoin d'un peu plus de bon sens et d'une pensée tournée vers l'avenir lorsque nous abordons ces défis. Le GDPR arrive, préparez-vous aux conséquences imprévues de la conformité !
Tel que publié dans AccountinWeb – 8 mai 2018
https://www.accountingweb.co.uk/community/blogs/kevin-philips/gdpr-is-coming-lessons-from-the-south
#SME #GeneralDataProtectionRegulation #compliance #datasecurity #GDPR #SouthAfrica #EU #POPI