Depuis l’application du Règlement Général sur la Protection des Données (RGPD) en France, les entreprises ont l’obligation de signaler à la CNIL dans les 72 heures toutes les violations de leurs données personnelles.
Cette obligation, au départ souvent vécue comme une contrainte inutile, s’est finalement révélée très positive, puisqu’elle les a aidées à réaliser leurs failles en matière de cybersécurité. Le secrétaire général de la commission nationale de l’informatique et des libertés, M. Jean Lessi, a en effet révélé le 14 janvier dernier qu’il y avait eu entre 1200 et 1300 signalements depuis le mois de mai 2018 (source).
Les principales causes des violations d’informations personnelles
Sans surprise, le piratage est la principale cause de perte ou de vol de données : il représentait à lui seul 65% des signalements en octobre 2018, tandis que les erreurs humaines n’étaient citées que dans 15% des cas à la même période (source).
Cette distinction est toutefois à nuancer : sans être la principale cause de la violation des données (comme dans le cas de la fraude au président par exemple), l’erreur humaine peut largement faciliter le travail des hackers. Exemple : dans le cas d’un hameçonnage ou de l’utilisation d’un logiciel malveillant, c’est bien souvent le manque de vigilance des salariés (ou du dirigeant lui-même) qui ouvre une brèche dans le dispositif de cybersécurité de l’entreprise.
Accompagner plutôt que condamner
En cas de non-conformité au RGPD, la CNIL est habilitée à prononcer des sanctions : le 21 janvier, elle a notamment infligé à Google une amende record de 50 millions d’euros (source), car son système d’exploitation Android ne respecte pas les règles encadrant le recueillement du consentement des utilisateurs.
Toutefois, lorsqu’elle est prévenue d’une violation des données personnelles, elle opte de préférence pour une approche plus pédagogique, en aidant les entreprises à prendre les bonnes mesures pour renforcer leur sécurité informatique (chiffrement des emails, mise en place d’outils anti-intrusion, contrôle des accès wifi, formation du personnel, …).
Des outils pour vérifier vite et bien la conformité avec le RGPD
En cas de doute, il y a des outils très bien faits pour vous assurer que vous maîtrisez bien l’essentiel des obligations concernant la sécurité des données.
Le Medef propose notamment un petit test autour du RGPD pour faire le point sur vos connaissances en répondant par oui ou par non à des affirmations telles que :
- Le RGPD ne me concerne pas si je ne communique à mes clients que des newsletters
- Je suis obligé(e) d’informer mes clients de ce que je compte faire de leurs données
- Le RGPD ne me concerne pas si j’ai moins de 11 salariés
- …
Vous pouvez l’effectuer ici : le quiz du RGPD
Le RGPD : une initiative qui fait des émules
En matière de cybersécurité, l’Europe a fait figure de pionnière en adoptant le RGPD. Protéger les informations personnelles et garantir la sécurité des données a été au départ perçu comme une réelle révolution en matière de cybersécurité.
Mais au vu de l’efficacité de ce dispositif, d’autres pays commencent à envisager de créer leur propre RGPD. C’est notamment le cas des Etats-Unis : lancée il y a quelques mois par des sénateurs américains, l’idée d’un règlement donnant plus de pouvoir de contrôle aux citoyens a vite séduit les plus grandes firmes. Cisco, Apple, Microsoft et IBM ont notamment déclaré être favorables à cette initiative. La Californie, toujours en avance sur son temps, a déjà anticipé le changement à venir en votant pour 2020 une réglementation au niveau de son Etat.
Reste à savoir comment réagiront certains géants du web, comme Facebook ou Google, qui sont régulièrement condamnés pour les infractions au RGPD en Europe.
L’avis de Laurent Brault de MDK Solutions
Le RGPD commence à faire « son trou » ! En Europe, de nombreuses violations de données ont déjà été recensées, preuve que ce dispositif commence à fonctionner (même s’il faut garder à l’esprit que tous les vols d’informations personnelles ne sont pas encore signalés).
Plus important encore : le RGPD, qui est la première étape d’une réglementation européenne plus complète, réussit le pari de faire des adeptes au-delà de l’Union Européenne. Son objectif est en effet d’aboutir à une approche mondiale de la sécurité informatique avec un socle commun significatif. Dans ce contexte, on peut donc estimer que le RGPD a pris un bon départ.
Alors si vous pensez bien maîtriser le RGPD ou au contraire ne rien y comprendre, n’hésitez pas à faire le test proposé par le Medef pour vous situer ! Vous pourriez avoir des surprises ! 🙂