RGPD. Cinq erreurs courantes des entreprises qui adoptent des processus centrés sur la confidentialité

Alors que le Forum International de la Cybersécurité s’est tenu du 22 janvier au 24 janvier 2019 c’est l’occasion idéale pour revenir sur le Règlement Général sur la Protection des Données (RGPD) et la mise en conformité des entreprises françaises.

Ainsi, selon la CNIL, les règles et détails concernant les évaluations de l’impact sur la vie privée (ou PIA, Privacy Impact Assessment) ont été téléchargés 130 000 fois depuis janvier 2018. Cependant, certaines organisations n’ont pas encore terminé la mise à jour de leurs politiques de sécurité pour s’y conformer.

Pour Pierre-Louis Lussan, de chez Netwrix, les entreprises qui s’empressent de se conformer au RGPD commettent souvent des erreurs qui entravent leurs efforts de sécurité des données : « L’un des défis majeurs des organisations est de respecter le règlement sans mettre à mal la protection de leurs données pendant le processus. En effet, si la recherche de conformité est trop rapide, elle peut entraîner des modifications fragmentées de la sécurité, et par conséquent des vulnérabilités et de potentielles pénalités élevées. Pourtant, certaines erreurs peuvent être facilement évitées. »

Absence de visibilité sur l’emplacement des données sensibles

La moitié des entreprises françaises ne savent pas où les données sensibles de leurs clients sont stockées, et 70 % d’entre elles n’analysent pas efficacement leurs données clients, d’après une étude de Gemalto. Or, il est impossible de protéger ce que l’on ne voit pas. Pour respecter le RGPD, il est impératif d’avoir une visibilité totale sur les données en effectuant une procédure de découverte et de classification ; cela permet de repérer des informations « surexposées », de migrer les plus sensibles vers un emplacement sûr, et de se débarrasser des data superflues.

 Aucune règle basée sur les risques pour la protection des données

Une étude Netwrix indique qu’une entreprise française sur cinq n’a jamais procédé à une évaluation des risques informatiques, et que 11 % le font seulement une fois par trimestre. Une entreprise doit cependant procéder à des évaluations régulières des risques informatiques qu’elle encourt. Non pas par respect du règlement, mais parce qu’il s’agit d’un outil essentiel pour évaluer les menaces et élaborer des stratégies de sécurité en conséquence. De plus, cette évaluation est particulièrement importante en cas de risque de profilage automatisé d’informations sensibles, telles que l’appartenance ethnique, les convictions politiques ou religieuses, les informations sur la santé, génétiques ou biométriques.

Ignorer l’objectif du traitement des données

Le RGPD implique que les employés, selon leurs fonctions, aient différents niveaux d’accès aux informations. Plutôt que d’accorder un accès total à tous les employés utilisant une partie de ces informations pour leurs tâches, l’entreprise doit se baser sur le « besoin de savoir ». Les analystes travaillant sur des schémas comportementaux peuvent par exemple tout à fait œuvrer avec des données anonymisées, tandis que le service client informant l’utilisateur des tentatives de connexion suspectes n’a besoin que des coordonnées de contact.

Utilisation de données personnelles hors consentement

Les points du RGPD concernant la protection de la vie privée dès la conception et par défaut (privacy by design and by default) suppose que les entreprises utilisent les données à caractère personnel uniquement pour les besoins indiqués lors de la collecte. Concrètement, un site de location de voitures qui a obtenu l’autorisation de partager des offres de location de véhicules par emails, enfreindra ce principe s’il propose des réservations d’hôtels. Il est donc important de bien déterminer les besoins commerciaux en amont, puis d’intégrer les critères et consentements émis par les clients dans les opérations marketing.

Sous-estimer la gestion de l’intégrité du système

Certains dirigeants pensent que la formation de leurs équipes au RGPD et la mise en place de contrôles de sécurité suffisent à assurer la conformité sur le long terme. Cependant, les processus métier et les flux de données évoluent chaque jour, ce qui pose constamment de nouveaux défis de sécurité. Ainsi, lorsque l’organisation met en œuvre de nouvelles technologies pour un projet, de nombreux managers prennent leurs décisions en fonction des coûts, des conditions de mise sur le marché, ou du retour sur investissement, sans se soucier des problèmes de sécurité. Il en résulte donc de nouvelles vulnérabilités qui, si elles ne sont pas adressées rapidement, pourraient être exploitées par des acteurs malveillants. 

« Avec l’augmentation du nombre de violations de données en 2018, les normes de conformité existantes devraient être renforcées dans les années à venir. Il est donc primordial d’adopter une stratégie de sécurité basée sur la protection des données des clients. Pour éviter de commettre des erreurs lors des mises en conformité, il serait judicieux de rendre obligatoire la nomination d’un délégué à la protection des données (ou DPO, Data Protection Officer) – à temps plein ou partiel –, afin de maintenir à la fois l’efficacité de l’entreprise et les principes de protection des données ; tout en sensibilisant les employés et en réalisant régulièrement des audits sur les pratiques et technologies en place.» conclut Pierre-Louis Lussan

Crédit photos : DR
[cc] Breizh-info.com, 2019, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine

Cet article vous a plu, intrigué, ou révolté ?

PARTAGEZ L'ARTICLE POUR SOUTENIR BREIZH INFO

Les commentaires sont fermés.

ARTICLES EN LIEN OU SIMILAIRES

Economie

None of Your Business dépose des plaintes contre le Parlement européen pour violation massive de données

Découvrir l'article

Sociétal

La Chine et la collecte de données génétiques : un risque majeur ?

Découvrir l'article

Sociétal

Inquiétude grandissante face à l’insécurité en France : un baromètre alarmant

Découvrir l'article

Culture & Patrimoine, Patrimoine

La main d’Irulegi : Une percée dans l’histoire du basque

Découvrir l'article

Economie

La France, un des pays au monde où le prix des données mobiles est le moins cher ?

Découvrir l'article

A La Une, Economie

Des données sensibles de la défense française mises en vente sur un forum de hackers

Découvrir l'article

Economie

Comment prévenir les fuites de données sur ChatGPT pour protéger vos données ?

Découvrir l'article

Economie

Infolettres : les obligations légales imposées aux entreprises

Découvrir l'article

Informatique, Société

Données informatiques. Comment fonctionne le chiffrement et quels en sont les avantages ?

Découvrir l'article

Economie

Protection des données : les institutions européennes interdisent TikTok à leur personnel

Découvrir l'article

PARTICIPEZ AU COMBAT POUR LA RÉINFORMATION !

Faites un don et soutenez la diversité journalistique.

Nous utilisons des cookies pour vous garantir la meilleure expérience sur Breizh Info. Si vous continuez à utiliser le site, nous supposerons que vous êtes d'accord.

Clicky