Ruée vers la conformité : les cinq erreurs qui peuvent mettre à mal votre entreprise

En avril 2018, peu avant l’entrée en vigueur du règlement général sur la protection des données (RGPD), IDC a rapporté qu’en Europe, seules 29 % des petites entreprises et 41 % des moyennes entreprises avaient pris des mesures pour se préparer à la réglementation. Voilà quelques mois que le RGPD est entré en vigueur, et de nombreuses entreprises s’escriment toujours à satisfaire leurs obligations de conformité. Un exemple récent : British Airways a révélé que les données personnelles et financières de plus de 380 000 de ses clients avaient été dérobées. S’il s’avère que la compagnie aérienne était en infraction avec le RGPD, elle pourrait écoper d’une amende équivalente à 4 % de ses recettes annuelles. Convertie en euros, en livres Sterling ou en dollars US, cette amende s’écrirait probablement avec sept chiffres.

La protection des données personnelles devient de plus en plus essentielle, aussi bien aux États-Unis qu’en Europe. La nouvelle loi California Consumer Privacy Act de 2018, qui entrera en vigueur en 2020, n’est que l’une des futures nombreuses réglementations développées pour protéger les informations personnellement identifiables.

Pour cette raison, si votre entreprise n’est pas encore prête à satisfaire les exigences de conformité qui lui incombent, vous devez absolument vous dépêcher d’agir. Lorsque vous mettrez au point votre stratégie, évitez ces erreurs courantes qui peuvent nuire à votre entreprise :

Erreur n° 1 : L’obsession de la conformité

De nouveaux défis de conformité étant annoncés chaque jour dans les médias, il est facile de perdre la tête et de prendre de mauvaises décisions. L’exemple le plus absurde est sans doute celui de la compagnie aérienne britannique Flybe :  Tout à leur ardeur de se préparer au RGPD, ils ont rédigé un e-mail conseillant aux utilisateurs de mettre à jour leurs informations personnelles et leurs préférences en matière de marketing. Ils ont envoyé cet e-mail à toute leur base de clients, y compris les gens qui s’étaient désinscrits des envois d’e-mails de l’entreprise. Cette action inconsidérée enfreignait une loi existante, les Privacy and Electronic Communication Regulations (PECR), ce qui a valu à l’entreprise une amende de 70 000 €.

Si vous ne savez pas trop comment satisfaire les exigences de conformité, ne faites rien à la hâte. Demandez conseil à des conseillers juridiques et à d’autres consultants expérimentés avant d’agir. Planifiez vos actions par ordre de priorité. Et gardez à l’esprit toutes les normes de conformité que vous devez respecter, afin de ne pas entrer en infraction avec l’une en essayant de satisfaire l’autre.

Erreur n° 2 : Adopter une approche fragmentée de la sécurité

Le RGPD et de nombreuses autres réglementations de conformité nécessitent une approche globale de la sécurité, impliquant non seulement la technologie, mais aussi la gouvernance, les processus et les personnes. Cependant, un récent rapport Forrester a révélé que 26 % des entreprises européennes qui déclaraient être conformes au RGPD se concentraient trop sur les mesures informatiques pour ne satisfaire au final que des exigences spécifiques de ce règlement, par exemple le consentement ou la notification des violations de données.

Les mesures superficielles ne sont pas efficaces pour protéger votre entreprise des incidents de sécurité et des pénalités découlant des audits. Je vous conseille vivement de considérer le RGPD et les autres lois similaires comme une opportunité pour repartir de la base et améliorer la sécurité de toute votre infrastructure informatique. Veillez notamment à connaître les emplacements de vos données sensibles, qui y a accès, et quels services et logiciels sont les plus essentiels à votre entreprise.

Erreur n° 3 : Être réactif au lieu d’être proactif

La plupart des réglementations de conformité requièrent une approche proactive de la part de votre service informatique, ce qui est particulièrement difficile à mettre en pratique. Lors d’une récente présentation à des professionnels de la sécurité informatique, j’ai fait une petite enquête informelle pour savoir à quel point ils se considéraient proactifs. Il s’est avéré que 80 % d’entre eux étaient réactifs par rapport aux nouvelles exigences de conformité et manquaient d’une approche stratégique à long terme.

Si votre service informatique est débordé par les dépannages courants, il sera incapable d’empêcher les violations de données, de réagir rapidement à des demandes d’oubli, ou de se conformer à d’autres exigences relatives aux réglementations sur la protection des données comme le RGPD. Essayez de trouver la racine du mal : Votre service informatique est-il sous-doté en personnel ou manque-t-il de l’expertise nécessaire ? Vos systèmes de sécurité sont-ils insuffisants ou mal gérés ? Vos employés sont-ils mal informés des protocoles de sécurité adéquats ? Chaque réponse implique différentes actions, vous devez donc commencer par trouver la cause première.

Erreur n° 4 : Faire peser toute la responsabilité sur le service informatique

La pire chose que vous puissiez faire est de blâmer votre personnel informatique pour les échecs de conformité. En pratique, si des violations de données surviennent, le problème réside souvent en dehors de ce service. Le Netwrix IT Risk Report a révélé que 65 % des entreprises avaient connu des incidents de sécurité, et la plupart étaient dus à des erreurs humaines et à des logiciels malveillants. Inutile de recevoir une amende parce que quelqu’un a copié sur son ordinateur un fichier contenant un identifiant client ou cliqué sur un lien malveillant qui a chargé un rançongiciel. Veillez à ce que tous vos employés qui manipulent des données sensibles (notamment, vos équipes marketing, ventes, comptabilité et juridique) soient formés aux politiques et procédures de cybersécurité. Assurez-vous que vos efforts en matière de formation ne se limitent pas à des cours ennuyeux sur la sécurité. Incorporez des études de cas pertinentes et des programmes éducatifs attractifs. Plus généralement, efforcez-vous d’établir une nouvelle culture d’entreprise centrée sur la sécurité et la confidentialité des données personnelles.

Erreur n° 5 : Être trop radical

Richard Stallman, président de la Free Software Foundation, a suggéré qu’au lieu de protéger et de réglementer les données personnelles, nous devrions interdire leur collecte. Je connais personnellement des entreprises qui ont supprimé toutes les données clients qui pouvaient être considérées comme sensibles, pour tenter d’éliminer tout risque d’amende liée au RGPD.

Ces réactions ne sont pas seulement radicales, elles sont aussi inefficaces. Mettre à la poubelle votre base de données clients ne supprimera pas votre obligation de rendre compte aux auditeurs, cela nuira seulement à votre compétitivité. Les auditeurs souhaiteront voir un plan crédible de mise en conformité, alors assurez-vous de pouvoir leur démontrer que vous êtes sur la voie d’une bonne maîtrise de votre sécurité. En ce qui concerne vos clients, le respect de leur vie privée et de leurs préférences accroîtra leur fidélité. Vous pourriez facilement perdre un client de longue date si vous ne le traitez pas selon ses préférences pour la raison que vous avez effacé toute information à son sujet.

Depuis trop longtemps, les entreprises recueillent les données personnelles de leurs clients pour atteindre leurs propres objectifs de recettes. Il est désormais temps de reconnaître les droits des personnes relativement à leurs données et de devenir plus respectueux de la vie privée. L’ampleur de ce changement peut sembler effrayante, mais vos clients vous récompenseront par une plus grande fidélité. De plus, si vous abordez la conformité comme un défi stratégique pour l’entreprise, vous vous trouverez dans une posture favorable lors de la prochaine loi sur la conformité ; vous aurez un simple problème de rapports à régler, et non un lourd travail d’ingénierie sur les bras.