Deux ans après : l'application du RGPD perturbée par la pandémie ?
En 2018, l'entrée en vigueur du Règlement général sur la protection des données a fait couler beaucoup d'encre. Bien que la pandémie du coronavirus ait accéléré l'adoption de nouvelles technologies, la protection des données privées peine à s'inscrire comme étant la norme.
Un changement de paradigme est crucial au vu de l’augmentation incessante du nombre de piratages et de cyberattaques auxquels doivent faire face les entreprises, notamment fragilisées par un système de protection inadapté au travail à distance.
Le RGPD offre à chaque individu un droit de regard sur la manière dont ses données sont collectées, conservées et effacées et l'Europe fait figure de précurseur lorsqu’il s’agit d’inscrire la protection des données privées et les questions en matière de confidentialité dans la loi. Les organismes de réglementation de chaque pays sont ainsi en mesure de sanctionner les entreprises qui ne respectent pas les dispositions du règlement. Si les amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires ne sont pas suffisantes pour prévenir la complaisance, l’atteinte à la réputation résultant du non-respect du règlement peut l’être.
Des sanctions financières effectives
Depuis l’arrivée du RGPD, les organismes de réglementation ont déjà imposé des centaines d’amendes. D’après le GDPR Enforcement Tracker le site permettant un suivi de la mise en application du RGPD, c’est en Espagne que les organismes de réglementation ont imposé le plus de pénalités à ce jour. 80 au total, pour une somme équivalente à 2 515 270 euros. Quant à elle, la France en compte 5 pour un montant de 51 100 000 euros et l’Italie, 11 pour un total de 39 452 000 euros.
En mai 2020, le nombre cumulé d’amendes liées au RGPD s’élevait à 237. Parmi elles, trois violations principales ont été constatées : mesures techniques et organisationnelles insuffisantes pour garantir la sécurité des informations ; fondement juridique insuffisant pour le traitement des données ; et non-conformité avec les principes généraux de traitement des données. Une tendance qui ne semble pas s’inverser puisque selon une étude menée par Data Legal Drive, 60% des personnes interrogées déclarent que la pandémie du Covid-19 a ralenti la conformité. Et plus surprenant encore, 30% déclarent que le déconfinement ne sera pas un facteur de changement.
Ces chiffres montrent que les organismes de réglementation font respecter le RGPD, mais peuvent également donner un faux sentiment de sécurité aux petites entreprises, en les laissant croire que ces sanctions sont exclusivement réservées aux grands groupes. La complaisance est un état d’esprit dangereux qui ne prend pas en compte les changements culturels, technologiques et les modifications réglementaires qui ont pris racine ces deux dernières années. Ces chiffres ne tiennent pas compte de l’atteinte à la réputation non quantifiable provoquée par les fuites de données et accompagnée d’une certaine méfiance de la part des clients.
Aujourd’hui, avec l’accélération de la transformation numérique des entreprises, les collaborateurs nécessitent plus que jamais de technologies innovantes et collaboratives. Il est alors essentiel que les entreprises comprennent leur responsabilité, mais également qu’elles continuent à veiller à respecter en permanence les principes généraux du traitement des données. Un défi considérable lorsqu’une enquête révèle que seulement un site internet sur 3 serait parfaitement en conformité avec le RGPD. [i]
Les entreprises face aux cyberattaques
Une récente étude[1] souligne l’augmentation saisissante du nombre de cyber-attaques et d’événements perturbateurs qui touchent 82% des entreprises. Selon ce rapport, les entreprises gèrent désormais 13,53 pétaoctets (PB) de données, soit une augmentation de près de 40% par rapport à la moyenne de 9,70 PB en 2018, et une augmentation de 831% par rapport à la moyenne de 1,45 PB en 2016.
La plus grande menace pour toutes ces données semble être le nombre croissant d’événements perturbateurs, des cyberattaques aux pertes de données en passant par les interruptions de systèmes. La majorité des entreprises (82% en 2019 contre 76% en 2018) ont subi un événement perturbateur au cours des 12 derniers mois. De plus, 68% craignent que leur organisation ne subisse un événement perturbateur au cours des 12 prochains mois.
Tandis que les technologies émergentes continuent de progresser et de façonner le paysage numérique, les entreprises apprennent à utiliser ces technologies, parfois hors du périmètre d’utilisation habituel. L’étude démontre que 67% des sondés peinent à trouver des solutions de protection des données adaptées aux technologies émergentes telles que la 5G et l’infrastructure périphérique, sans oublier les plateformes d’intelligence artificielle et d’apprentissage machine pour 64%.
Cependant, pour les moyennes entreprises au budget plus limité qui disposent de moins d’informaticiens, le respect strict du RGPD peut se révéler très difficile à gérer.
Bien que ce règlement ne soit pas prescriptif, les principes directeurs sont évidents surtout lorsque l’on outrepasse le périmètre de sécurité classique Par exemple, s’assurer que toutes les données personnelles sont chiffrées, que seules les données essentielles sont enregistrées, que les citoyens ont consenti à ce que leurs données soient utilisées et que l’exploitation de celles-ci a été expliquée sans équivoque, sont des points capitaux.
Pour être en règle, certaines étapes peuvent être suivies sans dépenses excessives. Mais pour garantir leur pérennité dans un monde numérique, les entreprises ont tout intérêt à investir dans des solutions et stratégies de protection des données, et les placer au cœur de leur stratégie commerciale. Alors que le paysage des données devient de plus en plus complexe, les organisations ont besoin de stratégies de protection souples et durables pouvant s’adapter à un monde multi-plateforme et multi-cloud.
[1] Dell Technologies Global Data Protection Index 2020
[i] Etude Data Legal Drive