Un projet de règlement européen visant à réformer le régime de protection des données à caractère personnel est en cours de discussion. Quels sont les principaux changements en matière de notification et quand entrera-t-il en vigueur ?

Avec le nouveau texte, les notifications aux autorités de contrôle, comme la Cnil en France, et à chaque personne physique concernée, sont rendues obligatoires aux entreprises de tous les secteurs, et non plus seulement à celles du secteur des télécoms et fournisseurs d'accès à Internet. Ces notifications devront se faire sans retard injustifié, si possible dans un délai de soixante-douze heures à partir du moment où la cyberattaque a été détectée. Les discussions en trilogue ont débuté le 24 juin, pour une adoption prévue au plus tard au premier semestre 2016. Cependant, le texte n'entrera en vigueur que deux ans après son adoption afin de permettre une mise en conformité des traitements avec le nouveau cadre juridique applicable.

Selon vous, quelles seront les conséquences pour les entreprises ?

Ce projet tend à responsabiliser davantage les entreprises quant au traitement et à la sécurisation des données personnelles. Elles devront ainsi clairement identifier la nature et le degré critique des données ainsi que les risques potentiels, notamment en cas de perte ou divulgation de ces données, afin de s'assurer de l'adéquation des mesures de sécurité, que ce soit au niveau des moyens IT, logistiques et/ou humains.

Dans ce cadre, qu'apportent les polices cyber ?

Avec la généralisation des notifications, les risques d'atteinte à l'image de l'entreprise et de...