RGPD & course à la conformité : quelles erreurs éviter ?

En avril dernier, peu de temps avant l’entrée en vigueur du Règlement Général sur la Protection des des Données (RGPD), le cabinet d’étude IDC révélait que seules 29 % des petites et 41 % des moyennes entreprises en Europe avaient pris les mesures nécessaires pour être conformes dans les temps.
Si de nombreuses organisations rencontrent encore des difficultés pour respecter leurs obligations, le RGPD est désormais bien à l’ordre du jour.
De plus, la protection des données figure parmi les principaux risques auxquels les entreprises devraient être confrontées en 2019 ; il ressort d’ailleurs que 58 % d’entre elles estiment que la mise en conformité au RGPD demande une attention particulière, sous peine de sanctions significatives.

Sources : Siecle digital / Pierre-Louis Lussan, Country Manager France, chez Netwrix

La protection des données à caractère personnel est en train de devenir une priorité, que ce soit en Europe ou aux Etats-Unis, et il devient urgent que les entreprises, qui afficheraient un certain retard en la matière, soient conformes. Cependant, il ne faut pas confondre vitesse et précipitation, pour éviter les erreurs  » classiques  » susceptibles de nuire à l’organisation.

Erreur n°1 : L’obsession de la conformité

Le non-respect aux règlements fait très régulièrement la Une des media. Il est donc très facile de paniquer et de prendre les mauvaises décisions. L’exemple récent de la compagnie aérienne britannique Flybe illustre parfaitement cette situation : soucieuse de se conformer, celle-ci a rédigé un email demandant à ses utilisateurs de mettre à jour leurs données personnelles et leurs préférences marketing, puis l’a envoyé à toute sa clientèle, y compris les personnes qui s’étaient désabonnées afin de ne plus recevoir ces emails. Elle a donc enfreint les Règlementations sur la Vie Privée et la Communication Électronique (PECR) du Royaume-Uni qui interdisent la diffusion de tels emails, considérés comme des documents marketing, sans le consentement des destinataires.

Si une entreprise doute de la marche à suivre, il est important qu’elle ne prenne pas de décision hâtive. Mieux vaut, dans un premier temps, se tourner vers des conseillers juridiques, et autres consultants expérimentés, avant de prendre la moindre mesure. Il est également important que les organisations priorisent leurs efforts, tout en gardant à l’esprit toutes les normes auxquelles elles sont soumises, afin de ne pas en enfreindre une en essayant de se conformer à une autre.

Erreur n°2 : Adopter une approche de sécurité fragmentée

Le RGPD, et de nombreux autres règlements, requièrent une approche de sécurité globale qui n’implique pas seulement la technologie, mais également la gouvernance, les processus et les individus. Toutefois, un rapport récent de Forrester a révélé que 26 % des entreprises de l’UE qui déclarent se conformer au RGPD se concentrent finalement trop sur les mesures informatiques, et ne répondent qu’aux exigences spécifiques du règlement, telles que le consentement ou la notification de violation de données.

Or, la prise de mesures superficielles n’est pas un moyen efficace de protéger son organisation contre les incidents de sécurité et les pénalités résultant d’un audit. Outre la nécessité de le respecter, le RGPD représente une opportunité de revenir aux fondamentaux pour améliorer la cybersécurité au sein de l’infrastructure informatique. Il est en effet essentiel de savoir où se trouvent les données sensibles, qui peut y accéder, et d’identifier les services et logiciels les plus critiques pour l’organisation.

Erreur n°3 : Etre réactif plutôt que proactif

La plupart des règlementations requièrent une approche proactive sur le long terme, ce qui est difficile à mettre en pratique pour le département IT, car les mesures sont souvent prises en réponse à de nouvelles exigences. Si le service informatique est submergé par les demandes quotidiennes de leurs collègues, il ne pourra alors pas empêcher les violations de données, ni garantir la conformité aux autres exigences du RGPD.

C’est pourquoi il est primordial d’identifier l’origine des limites du service IT : est-ce qu’il est en sous-effectif, ou bien n’a-t-il pas l’expertise ou les compétences nécessaires ? Le système informatique est-il correctement géré ? Les employés manquent-ils de connaissances concernant les protocoles de sécurité adaptés ? Chaque question engage une action différente, raison pour laquelle il faut avant tout définir la cause du problème.

Erreur n°4 : Rejeter la faute uniquement sur l’IT

La plus grosse erreur qu’une entreprise puisse commettre est de blâmer directement les équipes informatiques lorsqu’une faille de conformité survient. Le dernier rapport Netwrix indique notamment que 65 % des organisation ont subi des incidents de sécurité, dont la plupart résultaient d’erreurs humaines ou de malwares.

Personne ne souhaite recevoir une amende parce qu’un collaborateur a copié un fichier avec l’identité d’un client sur son ordinateur, ou cliqué sur un lien malveillant qui a conduit à l’installation d’un malware ; c’est pourquoi les organisations doivent veiller à ce que l’ensemble des employés, qui gèrent des informations sensibles, notamment au sein des équipes marketing, commerciales, financières et juridiques, soient formés sur les politiques et les procédures de cybersécurité. Plus largement, elles doivent établir une nouvelle culture d’entreprise centrée sur la sécurité et la protection des données.

Erreur n°5 : Être trop catégorique

Richard Stallman, président de la Free Software Foundation, suggère qu’au lieu de protéger et de réguler les données personnelles, les entreprises devraient simplement cesser de les collecter. Certaines organisations ont en effet adopté cette approche et ont effacé toutes les données clients pouvant être considérées comme sensibles, afin d’éliminer tout risque d’amende liée au RGPD.

Or, non seulement ces mesures sont trop radicales, mais elles sont également inefficaces. Se débarrasser de sa base de données client n’efface pas pour autant l’obligation de reporter aux autorités de régulation ; cela ne fera que compromettre la compétitivité de l’entreprise sur son marché. Les auditeurs sont à la recherche de plans de conformité cohérents de la part des organisations, c’est pourquoi ces dernières doivent prouver qu’elles sont en bonne voie pour un meilleur contrôle de leur sécurité. Du côté des clients, le respect de leur vie privée et de leurs préférences permettra de renforcer leur loyauté envers l’entreprise. Il est en effet facile de perdre un client historique dont les préférences n’auraient pas été respectées.

Pendant trop longtemps, les organisations ont collecté des données personnelles de clients afin d’atteindre leurs propres objectifs financiers. Aujourd’hui, il faut respecter la protection de ces informations pour préserver les relations. Aussi effrayant que l’étendue de ces changements puisse paraître, les entreprises verront une récompense et une reconnaissance immédiate survenir du côté de leurs clients. En outre, le fait de traiter la conformité comme un défi stratégique pour les organisations permettra à leurs dirigeants d’être prêts pour les prochaines règlementations ; elles n’auront en effet à gérer que la question du rapport et non la mise en place complète de la structure, et pourront ainsi concentrer leur attention et leurs efforts sur leurs clients et leur compétitivité.