L’industrie réfléchit à trois ans de RGPD
6 min read
Au cours de l’année écoulée, il serait tout à fait juste de dire que le secteur de la cybersécurité n’a pas nécessairement mis l’accent sur le respect des Règlement général sur la protection des données (RGPD). Au contraire, avec une augmentation des menaces et un grand nombre de cyberattaques importantes et percutantes, il est facile de comprendre pourquoi l’attention s’est portée ailleurs.
Mais le RGPD continue de fonctionner et, alors qu’il atteint son troisième anniversaire le 25 mai, les experts en protection des données évaluent une fois de plus l’impact de la réglementation de grande envergure.
Rob Elliss, Thales Vice-président de la sécurité des données pour la région EMEA, a déclaré que de nombreuses personnes se demandent toujours si la législation a été efficace ou non, mais dans l’ensemble, s’est déclaré satisfait de la position générale.
«Ce qui est clair, c’est que certaines entreprises qui ont été prises à juste titre se voient infliger de lourdes amendes, ce qui met sans doute ces questions« mordantes »au lit», a-t-il déclaré. «En plus de cela, le RGPD a été un moteur d’innovation en améliorant la posture de cybersécurité des entreprises grâce à la visibilité et à la protection des données, ainsi qu’en normalisant le processus sur le marché numérique de l’UE.
«C’est une législation qui a permis à la cybersécurité centrée sur le client d’émerger dans le dialogue pour la protection des droits à la vie privée à l’ère numérique – et qui inspire le reste du monde, notamment les États-Unis.
«Cependant, lorsque le RGPD a été rédigé pour la première fois, la législation ne tenait pas nécessairement compte de l’adoption de nouvelles technologies et de la migration rapide vers le cloud provoquée par la pandémie. Dans cette ère de travail à distance, les entreprises devaient se transformer numériquement presque du jour au lendemain juste pour garder les lumières allumées sans nécessairement intégrer la sécurité dans la conception de nouveaux systèmes et processus. »
Au Royaume-Uni, 2020-21 a été remarquable dans l’actualité du RGPD pour l’assouplissement temporaire des enquêtes et des amendes par le Bureau du commissaire à l’information (ICO), une mesure d’atténuation pris à la lumière de la pandémie, mais qui a peut-être eu un effet d’entraînement en termes de conformité globale, du moins selon Oliver Cronk, architecte informatique en chef chez Tanium.
«Depuis le [ICO] l’annonce a été faite, il est fort possible que la conformité au RGPD soit devenue moins une priorité pour certaines organisations », a-t-il déclaré. «Lorsque vous combinez cela avec le fait que de nombreuses organisations ont attiré leur attention sur d’autres priorités pendant la pandémie, je pense que certains oublis pourraient se produire, ce qui entraînera de lourdes amendes au RGPD au cours des deux prochaines années.»
Un autre effet de la pandémie a été la prolifération de nouveaux types de données, en grande partie liés à la santé publique – tels que les résultats des tests Covid-19, les tests d’anticorps et, dernièrement, le statut vaccinal. IntSight Le directeur de la conformité, Chris Strand, a déclaré: «Le risque que ces données soient utilisées à tort, exposées ou exploitées, pourrait déclencher un raffinement supplémentaire des mécanismes d’application utilisés pour mesurer et appliquer des sanctions en cas de violation de l’utilisation des données dans le cadre du RGPD.»
Brexit enfin? Le Royaume-Uni reste dans les limbes
Pour les lecteurs du Royaume-Uni, les 12 derniers mois ont apporté de nouveaux changements avec la fin de la période de transition le 1er janvier à minuit, marquant le départ définitif du Royaume-Uni de l’UE.
Pour récapituler, bien que le Royaume-Uni ait a obtenu une décision d’adéquation Afin de maintenir la sécurité des données traversant la nouvelle frontière avec l’UE-27, une décision de réexamen de cette décision est attendue dans le mois prochain.
Mais la pandémie en cours a dans une certaine mesure masqué certains des effets complets du Brexit – et de nombreux autres pourraient ne pas se faire sentir avant des mois ou des années à venir – et le véritable impact sur le RGPD ne fait pas exception à cela, a déclaré Elizabeth Schweyen, Druva’s gestionnaire principal de la confidentialité et de la conformité à l’échelle mondiale.
«Le Royaume-Uni se trouve dans une période de transition post-Brexit où il est resté en attente de voir quels mécanismes de transfert seront mis en place et comment les entreprises devraient modifier leurs pratiques en réponse», a-t-elle déclaré. «Cependant, il est clair que quelle que soit la mesure exacte adoptée, la confidentialité des données restera une priorité.
«Le RGPD britannique et le RGPD européen sont très similaires, il est donc possible que les transferts de données ne soient pas affectés. Il est également possible que les nouvelles amendes imposées par les régulateurs mettent en évidence exactement comment ils interprètent les lois du RGPD à l’avenir. C’est pourquoi les entreprises devront être préparées à tout changement qu’elles pourraient avoir besoin de mettre en œuvre, avant de recevoir des directives claires des décideurs politiques de l’UE ou du Royaume-Uni.
«Indépendamment de ce qui est à venir, il est sûr de dire que les entreprises doivent se tenir au courant des recommandations et des informations partagées par les autorités de protection des données. Avec le Royaume-Uni, ainsi que des États distincts aux États-Unis, qui rédigent diverses réglementations sur la protection de la vie privée, il existe un volume toujours croissant de lois et de directives que les entreprises devront suivre et se conformer dans les années à venir.
Les 12 prochains mois
Alors que le monde commence à émerger de la pandémie, Tanium’s Cronk conseille aux organisations de profiter des prochains mois pour réévaluer leur fonctionnement afin de s’assurer que les nouveaux processus et méthodes de travail adoptés au cours de l’année écoulée sont pleinement conformes à la “nouvelle normale».
«Pour suivre correctement les directives, les entreprises doivent travailler avec leurs DPD pour apporter un soutien à l’ensemble de l’organisation», a-t-il déclaré, «en particulier lorsque de nouveaux modèles et processus opérationnels ont dû être introduits du jour au lendemain dans de nombreux cas.
«Des exemples de ces changements sont des secteurs tels que l’hôtellerie, qui collectent désormais plus d’informations personnelles auprès des clients que jamais en raison de nouveaux processus liés à la pandémie, et il est facile de tomber dans le piège de ne pas déclarer clairement à quoi servent les données, comment il est traité et combien de temps il sera conservé. Les organisations doivent veiller à ce que la conformité des processus post-pandémique ne soit pas négligée, sinon elles risquent de subir de mauvaises surprises, telles que des amendes, à l’avenir. »
Elliss de Thales a ajouté: «Les organisations doivent être conscientes des implications de conformité de toute politique de travail à distance qu’elles mettent en place. Les DPD ont un rôle énorme à jouer pour s’assurer que leurs entreprises comprennent ces réglementations et les domaines dans lesquels elles doivent s’adapter. Sinon, nous pourrions voir le RGPD attraper davantage d’entreprises respectueuses des lois par de simples erreurs, plutôt que par sa véritable mission de trouver des entreprises qui mettent intentionnellement les données des clients en danger. »
Une telle situation a été mise en évidence à juste titre dans les récentes retombées de l’arrêt Schrems II sur le bouclier de protection des données, créant potentiellement des problèmes pour ceux qui ont respecté la loi. Elliss a déclaré: «Avec le RGPD en tête et les États-Unis emboîtant le pas, comprendre la conformité n’a jamais été aussi important.»
