En quelques années, les données personnelles numériques sont devenues le nouvel or noir des cybercriminels.
Avec le Règlement Général sur la Protection des Données (RGPD/GDPR), l’Union Européen se dote d’un cadre réglementaire détaillé et solide pour permettre à ses citoyens de reprendre le contrôle sur leurs données numériques. A un an de l’entrée en vigueur du texte, les entreprises ont un travail titanesque devant elles pour se mettre en conformité. Et gare à celles qui ne répondront pas aux exigences du texte car les amendes pourraient être lourdes.
Une avancée majeure pour la sécurité et le respect de la vie privée
Alors que le Senat américain a récemment autorisé les fournisseurs d’accès américains, Internet et Télécoms, l’utilisation des données personnelles de leurs clients à des fins commerciales, nous pouvons saluer l’initiative de l’Union Européenne de créer un règlement visant à renforcer la protection des données personnelles des citoyens européens. Dans le contexte actuel du « tout numérique », il est évidemment important de donner aux utilisateurs la capacité d'avoir pleinement le contrôle de leurs données.
Pour les entreprises, le RGPD va également avoir des bénéfices. Elles vont par exemple disposer de processus de partage et de transfert des données simplifiés et sécurisés à travers toute l’Europe. Avec le RGPD, elles vont également adopter un modèle plus réactif face aux failles de données, là où avant elles ne se concentraient sur le sujet que ponctuellement, typiquement à l’approche d’un audit de sécurité.
Les entreprises conformes au RGPD gagneront sensiblement en sécurité. Le règlement introduit plus particulièrement deux concepts clés :
- La « privacy by default » (protection de la vie privée par défaut) : intègre par exemple l’obligation de portabilité des données (aux autres fournisseurs de services, à n’importe quel moment), la correction et l’effacement des données ou encore l’obligation de consentement du propriétaire des données avant que l’entreprise ne les utilise.
- La « privacy by design » (protection de la vie privée dès la conception) impose aux entreprises de réduire au minimum nécessaire le volume de données à caractère personnel collectées et traitées (« data minimization ») de limiter les accès à ces données et de les conserver de manière sécurisée, ou encore d’informer les utilisateurs lorsque les données les concernant sont traitées, voire piratées.
L’implémentation de ces deux concepts offre non seulement un gage supplémentaire de qualité et de confiance aux utilisateurs mais elle renforce également la sécurité de ses salariés, de ses prestataires et de ses partenaires.
La mise en conformité, un chantier gigantesque
Avant d’en tirer les bénéfices - ou à l’inverse de grosses sanctions… - les entreprises doivent déjà se mettre en conformité avec le RGPD. Le chemin promet d’être long et laborieux. Selon une étude du cabinet Vanson Bourne, seulement 43% des entreprises ont lancé leur projet de mise en conformité à ce jour, alors que le règlement entre officiellement en vigueur dans un an.
Le problème est que le RGPD décrit de nombreuses exigences pour les entreprises en matière de collecte, de gestion et de stockage des données personnelles de leurs employés et de leurs clients, mais il ne fournit pas de directives pour répondre à ces exigences. La cartographie des données, le droit à l’oubli, la portabilité des données, les exigences de notifications de failles ou la demande de consentement pour le traitement de données d’enfants sont encore une fois de bonnes exigences mais cela prend des mois voire des années à mettre en place à l’échelle d’une entreprise. Alors imaginons le travail pour une entreprise internationale avec des filières aux quatre coins du monde.
Une seconde étude de Vanson Bourne confirme que 74% des entreprises estiment qu’elles vont faire face à des défis importants pour se mettre en conformité avant la date du 25 mai 2018.
Avec le RGPD, quelques problématiques vont également voir le jour. Tout d’abord, les données personnelles ne sont pas seulement utilisées pour le commerce ou le marketing, elles le sont aussi pour la gestion des incidents et l’investigation numérique. Si toutes les données peuvent être facilement supprimées ou modifiées à tout moment, la gestion des incidents et les investigations perdront énormément en efficacité. Eviter les failles c’est une chose, mais elles continueront à arriver, et sans une investigation numérique de qualité, elles continueront à arriver encore plus fréquemment. Le « tout chiffré » posera également de grosses difficultés aux entreprises, car que cela soit pour de la maintenance ou de la gestion d’exploitation, certaines données doivent rester accessibles.
L’approche de la sécurité des entreprises ne doit pas reposer uniquement sur la peur de l’amende
Mais au-delà de cette difficile mise en conformité, revenons sur notre propos introductif : l’impact de la sanction financière sur la cybersécurité à long terme. En effet, si les entreprises se concentrent sur la peur de l’amende, elles ne verront pas les effets potentiellement bénéfiques du règlement, telles que la circulation plus libre et sécurisée des données à travers l’Europe. L’argent a un vrai pouvoir pour faire évoluer les choses, mais des amendes allant jusqu’à 4% d’un chiffre d’affaires global peuvent sembler excessives pour des entreprises, qui certes y survivraient, mais qui ne l’oublions pas, auront déjà des problématiques importantes à traiter en matière de remédiation et d’image. De ce fait, il est difficile d’imaginer que le régulateur puisse frapper si fort dès le début.
Pour que le niveau de sécurité des entreprises progresse vraiment, il faut que les entreprises perçoivent les bénéfices de la sécurité pour leur business. La sécurité doit être un faire-valoir, les entreprises doivent comprendre qu’en augmentant leur niveau de sécurité, leur considération sur des sujets importants pour leurs clients, elles gagnent en image, en confiance vis à vis de leurs clients, avec au final un vrai impact sur leur business.
Le RGPD a un travail à faire. Il est important, et malheureusement des amendes sont parfois nécessaires pour marquer les esprits et inciter à avancer. Mais pour que la cybersécurité progresse significativement, le travail du RGPD devrait être combiné avec une sensibilisation sur la sécurité basée sur une approche positive, pour que les entreprises cessent de ne voir la cybersécurité que comme une contrainte.