Explosion des données et sécurité : l’émergence des Data Protection Officer serait-elle la solution ?

Les données personnelles ont acquis une valeur économique considérable. Elles font l’objet d’une vigilance spéciale de la part des entreprises tant au niveau du respect des droits et libertés des personnes, que de la sécurité du patrimoine informationnel.

En 2014, Target ou Home Depot se faisaient dérober respectivement 70 et 56 millions de fichiers avec des informations bancaires, numéros de téléphone, e-mails... Plus récemment Orange connaissait le même sort dans une moindre mesure.

Le coût moyen total en 2015 de ce type de fuite serait de 3,79 millions[1] de dollars par entreprise, contre 3,52 millions en 2014, soit une progression de 23% depuis 2013. Dans 47% des cas, ces fuites sont le résultat d'attaques extérieures. Le plus inquiétant, c'est qu'il faut en moyenne 256 jours à une entreprise pour repérer une attaque donnant lieu à un vol de données...

En France, le coût moyen total par entreprise des fuites de données est de 3,12 millions d’euros (+3,3% en un an) et de 134 euros (+2 euros) par donnée, ce qui place le pays au 4e rang mondial. 48% de ces détournements sont le fruit d'attaques mais les faiblesses du SI sont à l'origine de 28% des fuites et le facteur humain de 24%.

Les données personnelles sont donc devenues vulnérables car susceptibles de faire l’objet de piratage aux fins de chantage, d’intelligence économique ou encore d’escroquerie. En dehors de son obligation légale, l’entreprise se doit de les protéger car elles sont aussi des ressources précieuses et indispensables. Dans le sillage de l’économie numérique et de son célèbre corolaire le Big Data, rationaliser la sécurité de ces données devient crucial, quel que soit le secteur d’activité.

En effet, une telle croissance exige de mettre en place de nouveaux métiers pour s’assurer la sécurisation des données. Et dans ce contexte, si la sécurité est importante, l’intégrité des données, c’est-à-dire leur conformité avec les besoins de l’entreprise et le cadre légal de chaque métier l’est tout autant.

Les autorités européennes ont donc décidé de renforcer la position du futur DPO (Data Protection Officer ou Agent de Protection des Données) qui sensibilisera, informera mais aussi contrôlera la mise en œuvre des exigences du règlement européen. Ce spécialiste assure à temps plein la sécurisation des données. Dans une société du numérique où de plus en plus d’informations sont traitées, copiées et partagées sur des supports aux capacités infinies, entre de nombreux acteurs et par-delà les frontières nationales, le DPO est devenu un acteur essentiel pour la protection de la vie privée des consommateurs, des salariés et des citoyens. Il utilise pour cela des techniques de protection poussées faisant intervenir le chiffrement des données via des clés spécifiques et l’usage de valeurs de substitution. Les informations sensibles sont stockées dans un coffre-fort virtuel sous sa surveillance.

Au cœur du projet de règlement européen, le DPO va devenir un acteur incontournable de la conformité relative à la protection des données. Les entreprises doivent d’ores et déjà connaître les obligations et les challenges qui vont être pris afin d’intégrer ce nouvel acteur.

Les entreprises employant plus de 250 personnes devront bientôt toutes intégrer un DPO. En France, 22% des entreprises de plus de 500 salariés avaient un Data Protection Office en 2013, soit plus de 1.000 entreprises[2]. On estime que cette année près de 15.000 sociétés, allant des PME aux grands groupes, font déjà appel à un Data Protection Officer pour sécuriser leur système.

[1] Etude Ponemon pour IBM
[2] Observatoire IDC pour Microsoft