ICO (Information Commissioner’s Office)<\/a>, organisation ind\u00e9pendante cr\u00e9\u00e9e au Royaume Uni en vue \u00a0superviser les droits sur l’information dans l’int\u00e9r\u00eat public, donne une explication d\u00e9taill\u00e9e et compr\u00e9hensible des principaux aspects de cette r\u00e8glementation.<\/p>\nQuelques points cl\u00e9s issus du contenu de la r\u00e9glementation sont particuli\u00e8rement importants\u00a0pour les \u00e9conomies Africaines :<\/p>\n
Fournisseurs et partenaires d’affaires sont inclus dans le p\u00e9rim\u00e8tre<\/h3>\n
Les fournisseurs et les partenaires d’affaires\u00a0doivent \u00eatre inclus dans le p\u00e9rim\u00e8tre\u00a0de la gestion de la protection des donn\u00e9es. Cela\u00a0signifie qu’une Entreprise Europ\u00e9enne ne pourra transmettre des donn\u00e9es (bancaires ou\u00a0commerciales par exemple) \u00e0 un fournisseur ou un partenaire d’affaires situ\u00e9 sur le continent Africain que si et seulement si ce fournisseur ou ce partenaire d’affaires peut apporter la preuve (au travers d’un audit ou d’une certification par exemple) qu’il s\u00e9curise ses informations \u00e0 un niveau au minimum \u00e9gal \u00e0 ce qu’exige la r\u00e9glementation Europ\u00e9enne.<\/p>\n
Compr\u00e9hension des vuln\u00e9rabilit\u00e9 et menaces<\/h3>\n
Comprendre les vuln\u00e9rabilit\u00e9s, les menaces et l’efficacit\u00e9 de votre maintenance corrective sont essentiels. Cela signifie, en clair, qu’il est indispensable que toutes les menaces, toutes les vuln\u00e9rabilit\u00e9s et la maintenance corrective des logiciels que vous utilisez soient connues, comprises, \u00e9valu\u00e9es et contr\u00f4l\u00e9es. En Afrique, les Entreprises sont majoritairement des PMEs. Les budgets\u00a0et les\u00a0comp\u00e9tences n\u00e9cessaires vont bien au-del\u00e0 de leurs\u00a0moyens. Par contre, cela rentre\u00a0typiquement dans le p\u00e9rim\u00e8tre des obligations d’un \u00e9diteur de logiciel. Cela signifie donc, entre autres, qu’il ne sera pas possible, sauf \u00e0 d\u00e9montrer que l’obligation est bien respect\u00e9e gr\u00e2ce \u00e0 des certifications internationales ou des audits, de s’appuyer sur des applications sp\u00e9cifiques, d\u00e9velopp\u00e9es en interne par les Entreprises. Impossible \u00e9galement de s’appuyer sur du logiciel libre, largement r\u00e9pandu dans les Entreprises Africaines. Dans ce cas, il sera impossible d’apporter la preuve du respect de l’exigence dans le cadre d’un audit.<\/p>\n
S\u00e9curisation ad\u00e9quate des donn\u00e9es des clients<\/h3>\n
Les donn\u00e9es des clients doivent \u00eatre consid\u00e9r\u00e9es parmi les \u00ab\u00a0biens\u00a0\u00bb\u00a0les plus pr\u00e9cieux de l’Entreprise. Elles doivent donc \u00eatre prot\u00e9g\u00e9es comme telles et \u00a0b\u00e9n\u00e9ficier d’un niveau de s\u00e9curit\u00e9 maximum. Des audits et\/ou des certifications d’entreprises sur des normes internationales devront permettre de d\u00e9montrer que le niveau ad\u00e9quat de protection est bien appliqu\u00e9 aux donn\u00e9es des clients (informations personnelles, informations bancaires, informations m\u00e9dicales par exemple), y compris lorsqu’elles transitent ou sont manipul\u00e9es au sein d’une Entreprise Africaine, partenaire d’affaires, client ou fournisseur d’une Entreprise Europ\u00e9enne.<\/p>\n
Protection efficace contre les faiblesses humaines<\/h3>\n
Une\u00a0protection efficace est exig\u00e9e contre\u00a0des fuites de donn\u00e9es\u00a0involontaires, provoqu\u00e9es par l’entreprise et son\u00a0personnel,\u00a0notamment via\u00a0les m\u00e9dias sociaux. Cela implique une formation de l’ensemble du personnel des Entreprises Africaines, allant du Pr\u00e9sident\u00a0au gardien, sur la s\u00e9curit\u00e9 de l’information et la mise en oeuvre de moyens de contr\u00f4le, notamment sur la fuite d’informations via\u00a0les r\u00e9seaux sociaux. Cela risque de s’av\u00e9rer quasi-impossible dans des pays o\u00f9 le moyen privil\u00e9gi\u00e9 de communication\u00a0est Facebook. Facebook constitue g\u00e9n\u00e9ralement,\u00a0dans les\u00a0pays d’Afrique subsaharienne, le support institutionnel pour la communication d’Entreprise.<\/p>\n
De plus\u00a0les l\u00e9gislations locales des pays Africains n’autorisent pas ces pratiques de contr\u00f4le pour les Entreprises. Cela n\u00e9cessite\u00a0donc des changements culturels et l\u00e9gislatifs qui prendront beaucoup de temps. Or le temps est compt\u00e9 puisque la r\u00e9glementation s’applique \u00e0 compter du 25 Mai 2018. De plus ces \u00e9volutions risquent fort de rencontrer une opposition farouche des populations. Elles\u00a0consid\u00e8reront cela, sans aucun doute, comme une entrave \u00e0 leurs libert\u00e9s.<\/p>\n
Et si une Entreprise n’est pas conforme au GDPR?<\/h2>\n
L’article 83 du GDPR stipule que toute Entreprise Europ\u00e9enne non conforme \u00e0 la r\u00e9glementation sera soumise \u00e0 une amende \u00e9gale \u00e0 la plus \u00e9lev\u00e9e des deux montants : 20.000.000 Euros ou 4% de son chiffre d’affaire annuel<\/strong>.<\/p>\nIl est clair qu’aucune organisation en Europe n’acceptera de courir un tel risque avec un partenaire d’affaires ou un fournisseur qui ne serait pas align\u00e9 sur les exigences de cette r\u00e9glementation.<\/p>\n
![\"GDPR](\"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2016\/10\/GDPR-consequences.jpeg?resize=425%2C282\")
<\/p>\n
Les cons\u00e9quences pour les \u00e9conomies des pays Africains<\/h2>\n
Les cons\u00e9quences pour les \u00e9conomies Africaines sont donc claires. Elles doivent s’adapter pour\u00a0permettre \u00e0 leurs Entreprises de faire du business avec l’Europe, qui constitue un de leurs plus gros march\u00e9s. A d\u00e9faut, elles seront dans de tr\u00e8s grandes difficult\u00e9s. Le temps presse\u00a0car cette r\u00e9glementation entre en vigueur le 25 Mai 2018. Inutile d’envisager de rediriger les march\u00e9s vers l’Asie ou l’Am\u00e9rique du Nord. Des r\u00e9glementations similaires, tout aussi contraignantes, y sont d\u00e9j\u00e0 appliqu\u00e9es ou en voie de l’\u00eatre. Il faut donc transformer, dans un d\u00e9lai de 18 mois, les Entreprises pour les rendre conformes aux obligations r\u00e9glementaires.<\/p>\n
Dans notre prochain article, nous vous donnerons quelques pistes pour r\u00e9ussir cette transformation dans les d\u00e9lais en vous appuyant sur des r\u00e9f\u00e9rentiels de Gouvernance et de Management de la S\u00e9curit\u00e9 de l’Information tels que COBIT ou ISO 27001 en vue d’une meilleure protection des donn\u00e9es.<\/p>\n
N’h\u00e9sitez pas \u00e0 nous communiquer vos commentaires et vos questions. Nos experts se feront un plaisir de vous r\u00e9pondre.<\/p>\n
![\"COBIT,](\"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2016\/10\/GDPR-risques.jpg?resize=640%2C424\")
<\/p>\n