Cette loi s'appliquera à toutes les entreprises opérant dans l'UE, peu importe la domiciliation de leur siège social. « Si elles sont appliquées dans leur forme actuelle, les lois européennes sur la protection des données pourraient être les plus strictes du monde », a déclaré Anthony Merry, directeur de la protection des données chez Sophos, au cours d'une table ronde qui s'est tenue hier à Londres. « Mais celles-ci risquent de perdre leur efficacité », a-t-il averti. « En effet, deux ans après sa mise en chantier, le texte a subi 4 000 aménagements. Et je ne serais pas surpris d'en dénombrer 4 000 autres au cours des deux prochaines années », a-t-il ajouté.
Une évolution attendue
Malgré tout, Anthony Merry estime que ces règlements - modifiés avec retard, puisqu'ils n'avaient fait l'objet d'aucune mise à jour significative depuis 1995 - sont un « pas dans la bonne direction ». Les nouveaux règlements accordent aux citoyens les mêmes droits quand ils sont en ligne et hors-ligne, ils les confortent dans l'idée qu'ils bénéficient d'une protection quand ils sont en ligne, et veillent à ce que les entreprises s'engagent à mieux protéger les données de leurs clients. Les entreprises seront également tenues d'informer l'autorité de surveillance du pays CERT référent de toute violation des données. Contrairement à la France, par exemple, au Royaume-Uni le secteur privé n'a pas obligation de signaler les incidents à l'autorité de surveillance. Seules les entreprises du secteur public sont tenues d'aviser le Bureau du Commissaire à l'information (ICO) en cas de violation grave des données.
En France, le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques CERT-FR, composante de l'Agence nationale de la sécurité des systèmes informatiques (ANSSI), « est chargé d'assister les organismes de l'administration à mettre en place des moyens de protection nécessaires et à répondre aux incidents ou aux attaques informatiques dont ils sont victimes ». Comme l'indique encore le site du CERT, ses principales missions sont « de détecter les vulnérabilités des systèmes, au travers notamment d'une veille technologique, de piloter la résolution des incidents, si besoin avec le réseau mondial des CERT, d'aider à la mise en place de moyens permettant de se prémunir contre de futurs incidents et organiser la mise en place d'un réseau de confiance ».
Â