Etat des lieux du RGPD un an après: comment rester en conformité ?

Comparé au bug de l'an 2000 et l'objet de nombreuses études, le RGPD a-t-il réellement changé et influencé la protection de la vie privée des citoyens ?

Il a été comparé au bug de l’an 2000, accusé d’être une plateforme de cyberextorsion. Il a été scruté et étudié comme aucun autre texte de loi par les entreprises. La semaine précédant son entrée en vigueur en mai dernier, il a généré plus de recherches google que Beyonce. Il s’agit bien sûr du RGPD (règlement général sur la protection des données) créé par l'Union européenne. Un an après son entrée en vigueur, examinons ce qu’il a changé et la façon dont ce règlement a effectivement influencé la protection de la vie privée des citoyens par les entreprises.

Le RGPD est arrivé à un moment crucial où, les menaces pesant sur les données, les violations, les escroqueries par hameçonnage et les cyberattaques en tout genre ont augmenté sensiblement et où les entreprises avaient besoin de conseils et les consommateurs de protection.

Dans le cadre de mes fonctions, j'ai l’opportunité de parler à de nombreux clients et prospects de différents secteurs d'activité. Ce faisant, j’ai observé que l'impact du RGPD sur les entreprises varie énormément d'un secteur à l'autre. Parmi les clients rencontrés, beaucoup estiment que chez eux, le RGPD a plutôt soulevé des questions autour de la sensibilisation et des processus, les amenant à faire le point sur leur paysage de données actuel et à évaluer l’impact potentiel, mais n’a pas vraiment suscité de changement de nature technologique. Il n’a pas non plus imposé l’achat de nouvelles solutions logicielles ou matérielles.

Plus de points positifs que de pièges
Dans certains cas, il est clair que les départements informatiques n’avaient que peu, voire aucune connaissance sur la manière dont le RGPD devait être géré. L'arrivée du RGPD les a toutefois incités à déterminer qui a réellement accès à quels fichiers, quelles sont leurs vulnérabilités en matière de cybersécurité et, en cas d'attaque, comment accélérer la reprise ? Ils ont également commencé à se poser des questions difficiles sur leur état de préparation à la conformité au règlement et à évaluer les fournisseurs de logiciels tiers.

Pour de nombreuses entreprises, le chemin vers la conformité au RGPD a imposé la création d'une nouvelle équipe en charge de la réduction des risques et de la conformité, de taille variable selon le secteur, la taille de l’entreprise et l’ampleur des activités conduites en Europe.

Le RGPD a eu pour conséquence une augmentation considérable des rapports sur les violations de données personnelles, dans le monde entier. En Europe, près de 60 000 infractions ont été signalées au cours des huit premiers mois après son entrée en vigueur, selon une étude de DLA Piper. Les violations de données personnelles sont définitivement entrées dans le débat public, ce qui est une très bonne chose. En fin de compte, l'objectif ultime du RGPD est de renforcer la protection des données pour les citoyens de l'UE. Des questions difficiles ont été posées et continuent d'être posées, ce qu’il faut saluer.

Alors que certains déplorent que le nombre d’amendes infligées soit insuffisant, dans les faits, il y en a eu beaucoup. Environ 90 amendes au titre du RGPD ont été infligées depuis mai 2018, la plus importante et la plus élevée étant celle prononcée en France contre Google, pour un montant considérable de 57 millions de dollars USD. D’ailleurs, les entreprises américaines faisant l’objet d’une enquête ou accusées de non-conformité au RGPD sont généralement les grandes plateformes ou réseaux avec ont un public européen important.

Pour ce qui est de l’avenir, la plupart des entreprises que j’ai eu l’occasion de rencontrer ont le sentiment d’en avoir fait "suffisamment" pour appliquer les principes du RGPD tels qu’ils sont dictés actuellement. Cela étant, certaines ne sont pas absolument sûres de savoir ce que veut réellement dire "suffisamment". Les articles qui composent le RGPD laisse place à l’interprétation pour certains sujets, ce qui a inquiété les entreprises qui auraient préféré que tout soit expliqué plus clairement. Cela a suscité un certain trouble autour de la mesure de la conformité, malgré tous les efforts déployés. Une seule entreprise parmi toutes celles rencontrées a admis ne pas être conforme et être en retard, mais elle s’efforçait activement d’y remédier avant le premier anniversaire de l’entrée en vigueur du RGPD.

Parallèlement, les entreprises nord-américaines continuent d'évaluer leur propre état de préparation, non seulement en raison du RGPD, mais aussi parce que les États évaluent actuellement les lois et les exigences relatives au traitement des données dans cette région où elles comptent des clients. Des entreprises dans d'autres régions du monde font de même, pour des raisons similaires. À l’heure où le monde entier se focalise sur la confidentialité et la conformité, les entreprises ne peuvent pas se permettre de perdre le contrôle sur leurs données.

C'est crucial. Si vous faites de votre mieux, si vous avez pris des mesures positives pour réellement protéger les données personnelles, c’est formidable. Mais cela ne s’arrête pas là. Les entreprises doivent encore et toujours s’assurer que les exigences du RGPD sont respectées et que les délais de reporting, de mappage et de réponse des données continuent d’être évalués, remis en cause et améliorés. À mesure que la technologie évoluera, toutes ces données et ces opérations seront de plus en plus simples à gérer grâce à des plateformes de données telles que la nôtre, mais une intervention humaine sera nécessaire à court terme pour mettre sur pied un apprentissage.

L’élément perturbateur : la fragmentation massive des données

La fragmentation massive des données est un challenge pour les entreprises qui a émergé et a déstabilisé les efforts faits par les entreprises du monde entier en matière de conformité au RGPD. La fragmentation massive des données fait référence à la prolifération croissante de données réparties dans une multitude de sites, de silos d'infrastructure et de systèmes de gestion qui empêche les entreprises d'exploiter pleinement leur valeur et, dans le contexte du RGPD, de les localiser, les traiter, en contrôler l'accès et les sécuriser.

L’étude menée par Vanson Bourne montre qu’un certain nombre d’éléments majeurs accélère ce phénomène :

  • Les données sont massivement cloisonnées : il y a fragmentation des silos de stockage. Ce problème est exacerbé par le grand nombre de produits utilisés pour gérer les charges de travail secondaires : sauvegardes, partages de fichiers, données de tests et développement, méta analyses…
  • Les solutions sont nombreuses et c’est un problème : 35% des personnes interrogées ont déclaré utiliser au moins six solutions différentes pour gérer l'ensemble de leurs opérations sur les données secondaires. 10% des entreprises utilisent 11 solutions, voire plus.
  • Les copies de données sont hors de contrôle : Il existe des copies des mêmes données partout car les solutions utilisées ne permettent pas le partage ou la réutilisation des données. 63% des entreprises possèdent 4 à 15 copies des mêmes données.
  • Les données sont dispersées à plusieurs endroits : les données se trouvent sur les sites et dans le cloud. 85% des personnes interrogées stockent des données dans deux à cinq clouds publics. La cartographie des données est désormais beaucoup plus difficile et ajoute encore plus de complexité à leur gestion.
  • Les copies alternatives présentent aussi des difficultés : parmi les entreprises qui stockent des données dans un cloud public, 74% déclarent en créer une copie alternative ou redondante en les stockant dans le même cloud public ou dans un autre cloud public. Comment assurez-vous une gestion cohérente de ces copies de données et supprimez-vous les informations personnelles de ces nombreuses copies ?
La suite ? Gardez le pied à l’étrier.

Si vous faites tout ce qui est en votre pouvoir pour protéger votre entreprise contre les violations de données, les piratages et les problèmes de règles, vous avez de l’avance sur beaucoup d’autres entreprises et, espérons-le, vous éviterez les soucis. Les amendes restent énormes et maintenant que la première année s’est écoulée, vous avez compris que les organismes de réglementation et les commissions ne deviendrons pas plus cléments en la matière.

Si vous n'êtes pas entièrement satisfait de votre préparation au RGPD ou de votre conformité à celui-ci, voici quelques étapes que nous vous recommandons de suivre :

  • Réalisez une nouvelle évaluation approfondie de l'impact sur la protection des données : déterminez clairement les endroits où vos données personnelles sont stockées et qui y a accès, et assurez-vous qu'elles peuvent être récupérées.
  • Moins il y en a, mieux c’est. Réduisez la quantité de données personnelles stockées par votre entreprise. Et, dans le même temps, vérifiez si les raisons pour lesquelles les données personnelles sont traitées sont légales.
  • Votre responsable de la protection des données est-il sur la bonne voie ? Désignez un nouveau responsable de la protection des données si l’actuel ne convient pas et assurez-vous qu’il comprend la responsabilité qui lui incombe. C'est un rôle très important dans une entreprise moderne. Il est impératif que le responsable de la protection des données soit respecté.
  • Mettez à jour votre cadre de gouvernance des données : vous avez peut-être apporté des modifications au cours de la dernière année et prévoyez en outre d’en effectuer davantage à mesure que vous introduisez de nouveaux services, de nouvelles applications et de nouvelles technologies. La mise à jour de votre cadre de gouvernance des données définit exactement la façon dont votre entreprise gère ses données.
  • Mettez en œuvre de nouveaux systèmes de conformité : le RGPD n’est pas qu’une question de technologie, mais un logiciel peut vous aider à gérer certains aspects de la conformité, à vous adapter à votre cadre, à déterminer ce qui est nécessaire pour atteindre vos objectifs, qu’il s’agisse de formation, de gestion des risques ou de compte-rendus.
  • Passez en revue vos contrats avec les fournisseurs et vos accords sur les niveaux de service (SLA) : bien que cela semble assez explicite, vous devez vérifier que vous êtes couvert vis-à-vis des exigences du RGPD qui énoncent les obligations en matière de traitement, de gestion et de partage des données.
  • Vérifiez votre politique d’assurance auprès des fournisseurs : la chaîne d’approvisionnement est essentielle à toute entreprise, mais savez-vous exactement à quoi ressemble votre chaîne d’approvisionnement en termes de traitement des données personnelles des clients ? Est-il nécessaire que vous rédigiez de nouveaux contrats pour l’établir et pour protéger les clients contre des utilisations illégales de leurs informations personnelles ?
  • Examinez toute votre documentation externe et la manière dont vous collectez des données personnelles : c’était une tâche quotidienne pour un grand nombre de entreprises, mais travaillez avec les responsables du marketing pour vous assurer que vous êtes en conformité à la fois dans les documents que vous créez, mais aussi au niveau des données que vous recevez.
  • Savez-vous identifiez ce que vous transférez et transmettez ? Évaluez vos transferts de données internationaux et vérifiez leur conformité avec les directives mises à jour et publiées par l’ICO en fin d’année dernière. Il existe d’importantes différences avec différentes restrictions.
  • En cas de doute : travaillez avec des conseillers juridiques expérimentés dans le traitement des questions internationales relatives à la sécurité et à la confidentialité des données. Les conséquences d’un manquement au RPGD sont considérables : obtenez le meilleur conseil possible.

Après le succès rencontré avec le RGPD, l'Union européenne cherche maintenant à établir des directives éthiques concernant l'intelligence artificielle (IA). Il ne s'agit donc pas seulement d'intégrer le RGPD et la conformité au service de la protection des données. C’est désormais la norme mondiale en matière de protection des données, et de nouvelles réglementations sont à venir.

La réglementation n’est pas au choix. Vous ne pouvez pas sélectionner ce qui vous convient et ignorer le reste, vous devez vous conformer à toutes les étapes. Le RPGD et la problématique de la protection des données dans son ensemble ne doivent pas être perçus comme un casse-tête pour votre entreprise, mais comme une étape cruciale pour renforcer la confiance des consommateurs et la confiance accordée à votre marque.