Au cours de la fin de semaine dernière, nous avons franchi la marque des 100 jours depuis l'entrée en vigueur du Règlement général sur la protection des données (RGPD), qui touche les entreprises du monde entier.
Tous ceux qui s'attendaient à des pénalités immédiates pour faire la une des journaux doivent être déçus. Bien que la Commission européenne ait reçu des plaintes concernant des entreprises telles que Facebook, Google, Instagram et WhatsApp dans les heures qui ont suivi l'entrée en vigueur de la nouvelle loi sur la protection des données, aucun geste majeur n’a été observé à ce jour. Comme la nouvelle directive augmente les amendes maximales jusqu'à 20 millions d'euros (17,6 millions de livres sterling), ou 4 % du chiffre d'affaires annuel global, alors que le maximal était fixé à 551 000 euros (500 000 livres sterling) dans la version « originale » de la législation, l'intérêt des médias ne s'estompera probablement pas de sitôt.
À quoi ressemblait la situation, tout juste avant l'entrée en vigueur du RGPD?
Bien avant l'entrée en vigueur des directives strictes de RGPD, les experts d'ESET avaient évalué l'état des préparatifs à ce changement majeur en matière de protection des données. Cette évaluation a été réalisée au moyen du formulaire de contrôle de conformité de l'entreprise. Au cours du semestre allant de novembre 2017 à mai 2018, plus de 27 000 participants – provenant principalement des pays de l'Union européenne, où cet outil d’évaluation en ligne gratuit était activement promu – ont complété ce questionnaire.
Cette évaluation de la conformité a permis de mettre au jour divers faits intéressants concernant les entreprises de l'UE. Par exemple, il apparait maintenant clair que la plupart des entreprises détiennent des données personnelles (ou PII, pour personally identifiable information) sur leurs clients (82,6 %) et leurs employés (70,2 %). En outre, un peu plus d'un cinquième des participants ont révélé détenir des PII supplémentaires telles que des données biométriques ou relatives à la santé.
« Une vérification de la collecte et du traitement des données pourrait être l’action la plus utile qu'une entreprise puisse faire par rapport au RGPD. Même aujourd'hui, quelques mois seulement après l'entrée en vigueur de cette directive, c'est le moyen le plus simple de s'assurer que vous n'omettrez rien lorsque finaliserez de vous conformer aux règles du RGPD», explique Tomáš Mičo, avocat principal chargé de la protection des données et des licences chez ESET. « Quel que soit le résultat, il donnera à l'entreprise des perspectives équitables pour l'avenir et une vue d'ensemble des investissements nécessaires. Avec la haute saison budgétaire, c'est peut-être le meilleur moment de l'année - si vous ne l'avez pas déjà fait. »
Dans le même temps, plus de la moitié (56 %) des entreprises ont admis ne pas avoir effectué d'audit pour s'assurer de respecter les nouvelles règles, tant quant à la manière dont leur entreprise collecte les données personnelles, qu’à leurs sources et les personnes avec lesquelles elles les partagent. Un peu plus de la moitié de ces organisations (51,4 %) n'avaient pas documenté les mesures de sécurité techniques et organisationnelles qui s'appliquent à la façon dont ces documents sont traités. Et à peine six mois avant l'échéance du RGPD, seulement 47 % des personnes-clés au sein de ces entreprises étaient pleinement conscientes de tous les changements aux règles entraînés par le RGPD.
La sécurité en cette nouvelle ère de protection des données
Le contrôle de conformité d’ESET est allé encore plus loin et s'est enquis des mesures techniques appliquées par les entreprises pour empêcher l'accès non autorisé et l'utilisation des données personnelles par les cybercriminels.
Selon ces données, le type de protection en matière de cybersécurité le plus utilisé est le logiciel de détection et de protection contre les logiciels malveillants (90,6 %). Les entreprises utilisent également des logiciels de protection des navigateurs (87,8 %), des pare-feu (83,6 %), des logiciels de restriction d'accès (83,7 %) et des réseaux Wi-Fi protégés par mot de passe (81,9 %).
Interrogées sur les logiciels de chiffrement - la méthode clé de protection des données personnelles prescrite par RGPD- avant l'entrée en vigueur de la directive, seulement un tiers des entreprises interrogées avaient mis en œuvre une partie de cette méthode de protection des données personnelles. Parmi les entreprises sondées, le chiffrement le plus couramment mis en œuvre était via courriel (32,5 %), suivi du chiffrement des fichiers locaux (31 %) et du chiffrement du réseau/du nuage (30,5 %).
En regardant les données recueillies, je constate avec surprise que seulement un quart des participants aient en place un logiciel qui chiffre le contenu des disques et des clés USB. La perte ou le vol de tout appareil contenant des données sensibles et personnelles non protégées représente un danger indéniable pour les entreprises concernée », explique David Tomlinson, responsable d'ESET Endpoint Encryption. « Depuis l'entrée en vigueur du RGPD, le nombre de ceux qui adoptent des logiciels de chiffrement n'a cessé d'augmenter, de sorte que l'on peut s'attendre à ce qu'il soit plus élevé aujourd'hui qu'il y a quelques mois, bien que nous disposionpas encore de données pour appuyer cette opinion. »
Le RGPD est bel et bien là. Bien que les régulateurs en matière de protection des données aient été magnanimes en ce qui concerne le paiement des amendes au cours des premiers mois qui ont suivi la création du RGPD, et que la Commission européenne ait évité quelques millions de pénalités ici et là, le temps des amendes massives viendra tôt ou tard. Donc, si vore entreprise n’est toujours pas conforme à la nouvelle législation, n'attendez plus.
Pour plus d'informations sur le règlement général relatif à la protection des données, visitez la page d’ESET dédiée à ce sujet.