RGPD : Pourquoi devez-vous évaluer votre pile technologique maintenant ?

RGPD : Pourquoi devez-vous évaluer votre pile technologique maintenant ?

La date d'entrée en vigueur du RGPD approche rapidement, mais la plupart des entreprises ne sont pas prêtes. Elles doivent redoubler d'efforts si elles veulent éviter la non-conformité et ses coûteuses sanctions.

Le RGPD entrera en vigueur le 25 mai 2018, mais la plupart des entreprises ne sont pas prêtes. Elles doivent redoubler d'efforts si elles veulent éviter la non-conformité et ses coûteuses sanctions, soutient Sudeep Venkatesh, expert en technologies d'entreprise et directeur mondial avant vente chez Micro Focus.

Chaque semaine, il entre en contact avec de nombreuses entreprises internationales (services financiers, détaillants, télécommunications et organismes de santé, notamment) et la plupart d'entre elles traitent d'énormes quantités de données personnelles.

En termes de niveau de préparation des responsables de la sécurité informatique des entreprises vis-à-vis du RGPD, Sudeep Venkatesh distingue trois catégories. La majorité des entreprises mondiales appartiennent à la première.

« Les responsables de la sécurité informatique du premier groupe connaissent l'existence du RGPD. Ils peuvent avoir configuré un bureau de protection de la vie privée ou engagé un délégué à la protection des données (DPD). Actuellement, ils peuvent passer au crible les exigences légales auxquelles leur entreprise est soumise ou avoir obtenu un budget de base pour le faire. » Près de 90 % des entreprises mondiales appartiennent à cette catégorie des entités « encore en train de se mettre au point », dit-il.

La deuxième catégorie comprend près de 5 % des entreprises. Celles-ci ont une bonne longueur d'avance. Elles évaluent les technologies dont elles disposent en interne et les technologies dont elles ont besoin pour réaliser la conformité avec le RGPD, explique Sudeep Venkatesh. Certaines très grandes entreprises ont déjà investi dans un DPD dédié, ou même dans plusieurs délégués, et évaluent activement leurs obligations légales.

Enfin, la troisième catégorie correspond aux entreprises qui peuvent prétendre être conformes avec le RGPD sur toutes leurs plates-formes. Le pourcentage de cette catégorie est très petit.

« Dans l'ensemble, la plupart des entreprises se sentent dépourvues, surtout en matière d'identification des solutions technologiques dont elles ont besoin. Il ne suffit pas de configurer des polices et d'engager des avocats », commente Sudeep Venkatesh.

Il ajoute que, dans de nombreuses entreprises, même si les chefs de la sécurité informatique et les équipes de sécurité de l'information sont plus ou moins conscients qu'ils doivent réaliser la conformité avec les dispositions du règlement, ils n'ont dressé aucun inventaire ni étudié les exigences du RGPD pour identifier celles qui s'appliquent.

Sanctions dissuasives

Un facteur qui oblige beaucoup d'entreprises à s'ajuster aux exigences du RGPD pour réaliser la conformité est la menace, en cas de non-conformité, de sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour un groupe (le plus élevé des deux).

Sudeep Venkatesh explique que, selon Micro Focus, les organismes régulateurs distribueront d'importantes sanctions pour violation de données dans le secteur, au lieu de se contenter de les utiliser pour menacer les entreprises. « Nous sommes convaincus que les organismes régulateurs feront appliquer le règlement très tôt. En fait, les organismes régulateurs du Royaume-Uni affirment qu'aucun délai ne sera accordé en matière d'adhérence au RGPD. »

Toutefois, il ajoute que l'aspect monétaire n'est que l'un des nombreux effets néfastes de la non-conformité : la publicité négative et l'atteinte à la réputation de l'entreprise sont tout aussi importantes (que ce soit à la suite d'une violation de données ou de toute autre non-conformité avec le RGPD, ou parce que l'entreprise est sanctionnée pour l'un ou l'autre de ces motifs).

« Nous sommes persuadés que, à l'approche de la date d'entrée en vigueur du RGPD et à mesure que la sensibilisation des consommateurs augmente, la conformité deviendra un aspect positif de la marque, et l'entreprise pourra l'utiliser comme argument de vente auprès de ses clients », explique Sudeep Venkatesh.

Actuellement, les citoyens ne sont pas conscients des changements à venir concernant la confidentialité des données, notamment en matière de portabilité des données, de suppression des données et de « droit à l'oubli », observe Sudeep Venkatesh. Toutefois, il conjecture que les organismes régulateurs vont commencer à diffuser des annonces dans les médias pour sensibiliser le grand public au RGPD et aux droits à la confidentialité des données pour les consommateurs de l'Union européenne. « À mon avis, nous avons tous des efforts à faire pour former le grand public quant à ses droits. »

La technologie adéquate

Pour être prêtes à adopter les nouvelles règles de confidentialité des données, les entreprises doivent mettre en place les technologies adéquates, affirme Sudeep Venkatesh.

« De nombreuses exigences du RGPD vont obliger les entreprises à se tourner vers les technologies pour gérer la conformité (chiffrement de données, stockage de données, archivage et gestion de classification, par exemple). Toutefois, les entreprises ont négligé la sélection, le déploiement et l'exploitation de ces technologies. »

Sudeep Venkatesh ajoute : « Nous offrons des technologies de chiffrement et de pseudonymisation depuis dix ans. Par exemple, l'un de nos clients, un géant des télécommunications, utilise notre solution de chiffrement pour 550 applications. En outre, huit gestionnaires de paiement sur dix utilisent la technologie de chiffrement Micro Focus pour chiffrer leurs données sur un grand nombre de systèmes. »

Micro Focus s'efforce de faire comprendre à ses clients que tous les chiffrements ne sont pas identiques. Le chiffrement déployé au niveau du réseau pour l'envoi de données, par exemple, ne peut assurer la protection de la sécurité que contre une personne qui tente d'espionner une ligne ou un tunnel. Le chiffrement déployé au niveau du stockage peut renforcer la protection, mais il faut encore y ajouter un chiffrement au niveau des champs pour les données personnelles sensibles, afin de protéger ces champs de données (noms, adresses, adresses e-mail, numéros de téléphone, informations relatives à la localisation GPS, informations de paiement et habitudes d'achat, par exemple).

« Différentes entreprises déploient déjà cela, ce qui leur permet d'éviter les attaques contre leurs données », explique Sudeep Venkatesh.

Soutien du conseil

En définitive, la protection des informations relève de la responsabilité de tout le monde dans l'entreprise, à tous les échelons, signale Sudeep Venkatesh.

« Un thème commun émerge dans les entreprises qui sont prêtes pour le RGPD : elles ont obtenu l'adhésion du conseil d'administration en matière de protection. Un bon test consiste à vérifier si un cadre-dirigeant peut expliquer en une phrase simple pourquoi son entreprise doit protéger ses données et ce que cela signifie pour elle. »

Autres signes qui montrent qu'une entreprise est prête pour le RGPD : ses équipes de sécurité et d'applications travaillent en étroite collaboration, ainsi qu'avec les responsables de la protection de la vie privée de l'entreprise. Sudeep Venkatesh commente : « On observe généralement une lutte acharnée entre les équipes de sécurité (qui connaissent bien le chiffrement et la pseudonymisation) et les grandes équipes d'applications (qui accordent plus d'intérêt aux nouvelles fonctionnalités de leurs applications, génératrices de revenus). Pour simplifier cela, il faudrait un mandat au niveau du conseil afin de s'assurer que les équipes se mettent d'accord : elles doivent travailler ensemble pour protéger les clients. »

Enfin, aux entreprises qui ne se sentent pas prêtes à affronter le RGPD, Sudeep Venkatesh conseille : « Les chefs de la sécurité informatique et tous les professionnels de la sécurité doivent mieux connaître le RGPD. Explorez les produits de sécurité des applications disponibles (gestion des incidents de sécurité, chiffrement et pseudonymisation, par exemple), prenez le temps d'examiner votre pile technologique existante et faites le point sur ce dont vous avez besoin. »

Chiffrement Responsable de la sécurité informatique Violation de données

Donnez-nous votre avis et rejoignez-nous sur LinkedIn!

S'ABONNER

S'inscrire pour recevoir les bulletins GDPR & Beyond