Le RGPD, un créateur de sécurité pour les données personnelles
Avec le développement du tout digital, les violations de données personnelles sont légions et pourrissent la confiance des clients vis à vis de leurs marques. La mise en oeuvre du RGPD et de ses obligations en matière de protection est un véritable gage de sécurisation.
Le Règlement Général sur la Protection des Données
personnelles s’ancre de plus en plus dans la vie économique et sociale. Applicable
depuis le 25 Mai 2018 au sein de la Communauté Européenne, il s’impose aux
entreprises, aux organismes publics et aux associations dès lors qu’il y a
traitement de données personnelles.
Il est devenu un formidable accélérateur de sécurisation en créant l’obligation pour tous les dépositaires de données personnelles, de mettre en place des mesures organisationnelles et techniques de protection.
Une prise de conscience qui de fait, touche encore plus les petites structures et le monde associatif pas forcément conscients ni au fait des actions à mener pour lutter contre les violations de données.
"Violation" de données, le mot est lâché ! Qu’est-ce qu’une violation de donnée personnelle ?
Il s’agit d’"une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données".
Un mal qui fait peur aux français si on se réfère au sondage IFOP sur la protection des données commandé par la CNIL et publié en novembre dernier. Près de 70% des français se disent notamment plus sensibles à la question de la protection des données personnelles.
Pour quelles raisons, cette sensibilité s’est-elle développée ?
La moitié d’entre eux indiquent des motifs directement liés aux violations de données comme la peur des piratages, le vol des données, les fraudes et arnaques, l’usurpation d’identité et les scandales médiatiques…
Et ces craintes sont bien réelles et se traduisent dans les faits avec un décompte sur 10 mois, de près de 990 actes malveillants (60%) sur les 1650 violations de données personnelles enregistrées par la CNIL dans son opendata. On remarque également que 20% des violations sont des actes internes accidentels, preuve que la sensibilisation des collaborateurs aux règles de sécurité doit encore progresser.
Ce recensement qui fait froid dans le dos a pu être mis en place grâce au RGPD avec l’obligation de notification auprès de la CNIL de toute violation de données engendrant un risque pour les droits et libertés des personnes concernées.
Un maître mot pour "limiter" les risques : l’ANTICIPATION ("limiter" seulement car quelle entité peut se prévaloir d’une protection invulnérable ?).
Pour les professionnels, les acteurs publics ou associations qui ont mis en place les mesures adéquates pour sécuriser serveurs, sites web, terminaux et qui ont formé leurs collaborateurs, vous avez déjà franchi un cap.
Pour les autres, il n’est jamais trop tard et vous pouvez prendre connaissance des nombreuses publications de la CNIL ou de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'information) sur le sujet.
N’oubliez pas de définir une procédure de gestion de crise qui viendra préciser le rôle de chacun en cas de violations de données en tout genre. Elle vous évitera des erreurs d’arbitrage et une sur-réaction en mode panique pour savoir qui doit intervenir et sur quoi pour en limiter les conséquences.
En plus de tenir un Registre des violations de données (qui est obligatoire), vous devrez également réaliser une notification auprès des services de la CNIL dans les 72 heures de l’identification et en fonction des cas, il vous faudra en aviser les personnes concernées.
Le silence n’a donc plus sa place avec le RGPD et les révélations de failles, nuisibles pour la réputation des marques, vont accroître le développement de la sécurisation des systèmes. Au vu des enjeux concernés, personne ne s’en plaindra !