La menace d’une action en justice du groupe RGPD hante les RSSI

Le spectre des règlements juridiques de groupe à la suite d’une grave violation de données hante 90% des responsables de la sécurité, tandis que 85% sont plus préoccupés par la menace d’amendes réglementaires, selon un Sortie rapport commandé pour marquer le troisième anniversaire de la Règlement général sur la protection des données (RGPD).

L’étude, menée par OnePoll, a interrogé 250 responsables de la sécurité et délégués à la protection des données (DPD) et 2 000 consommateurs. Il a révélé que près de la moitié – 47% – des consommateurs ont déclaré qu’ils envisageraient de se joindre à un recours collectif contre une organisation qui a divulgué leurs données personnelles, et 67% étaient conscients de leurs droits à intenter une action en justice en vertu du RGPD, ce qui suggère que ces inquiétudes peuvent avoir une certaine base dans la réalité.

«Le coût financier d’une violation de données a toujours suscité des discussions autour du RGPD et, au départ, on pensait que de lourdes amendes réglementaires feraient le plus de dégâts», a déclaré Tony Pepper, PDG d’Egress. «Mais les conséquences largement imprévues des recours collectifs et des litiges indépendants dominent désormais la conversation.

«Les organisations peuvent contester les ICO [Information Commissioner’s Office’s] intention d’infliger une amende pour réduire le prix, et au cours de la dernière année, l’ICO a fait preuve de clémence envers les entreprises touchées par une pandémie, comme British Airways, les libérant avec des amendes considérablement réduites qui ont été considérées par beaucoup comme une simple gifle au poignet. Les personnes concernées étant très conscientes de leurs droits et les poursuites pouvant devenir un «opt-out» pour les personnes concernées à l’avenir, les responsables de la sécurité ont raison d’être inquiets des impacts financiers des litiges. »

Lisa Forte, associée chez Cybersécurité Red Goat, a ajouté: «Le plus grand risque financier après la violation ne concerne plus les amendes réglementaires qui pourraient être imposées. Les poursuites sont désormais monnaie courante et pourraient équivaloir à l’écriture d’un chèque en blanc si vos données sont compromises.

«Les pays européens n’ont généralement pas souscrit à une manière litigieuse de réglementer le comportement des entreprises. Cela est en train de changer et sans intervention explicite du gouvernement, les entreprises devront accepter qu’elles ont besoin de poches plus profondes pour couvrir la ruée vers l’or que nous commençons à voir. »

Forte a en outre noté les Lloyd contre Google Cas – actuellement à la Cour suprême du Royaume-Uni – qui, en cas de succès, rendrait ces litiges de groupe «opt-out» plutôt que «opt-in». Elle a déclaré que cela devrait être une «grande inquiétude» pour les RSSI et les DPD. Une décision sur cette affaire est attendue plus tard en 2021.

Dans l’intervalle, Egress a constaté que 91% des responsables de la sécurité ont déclaré qu’ils se tournaient vers des prestataires d’assurance spécialisés pour les couvrir contre les cyberincidents et les violations de données, ou avaient déjà mis à niveau les politiques existantes depuis l’entrée en vigueur du RGPD. Cependant, Edina Csics, spécialiste du RGPD et consultant en protection des données chez basé en Belgique Conseil en SIG, a déclaré que cela ne suffisait pas en soi.

«Bien que la cyber-assurance puisse couvrir les dommages financiers causés par une violation de données, elle n’aidera pas à récupérer les dommages causés à la réputation», a-t-elle déclaré. «J’espère que les 91% des personnes interrogées qui ont modifié leur politique de cyber-assurance en réponse au RGPD ont également envisagé de faire ce qu’il fallait en mettant en place des mesures plus sérieuses que la formation à la sécurité des employés par clic et en remédiant à leurs technologies de sécurité peu implémentées en en plus de la souscription d’une cyber-assurance et non à la place de celle-ci. »

Néanmoins, et quelle que soit la motivation, a déclaré Csics, il y avait beaucoup à remercier les dirigeants de la sécurité qui prennent des mesures pour éviter d’endommager leurs entreprises, car leurs actions étaient susceptibles de jouer en faveur des consommateurs et de la protection globale des données.

Elle a ajouté: «Cela dit, en regardant l’activité passée de l’ICO et ses habitudes de mise en œuvre, je suis encline à comprendre pourquoi les responsables de la sécurité sont plus préoccupés par les actions de ceux qui sont directement touchés – les personnes concernées dont les données personnelles sont soumises. à leurs mesures de sécurité pas tout à fait étanches – et aux militants de la protection des données qui sont encore plus motivés pour prouver que les organisations peuvent faire plus pour protéger les données personnelles.