L’une des caractéristiques marquantes de 2019 a été l’attention croissante portée à la confidentialité des données dans le monde entier, et notamment une série de nouvelles réglementations gouvernementales. La protection des données est un sujet brûlant car les cyberattaques prennent de l’ampleur, elles sont de plus en plus sophistiquées et entraînent des coûts de plus en plus élevés. Accenture rapporte que le coût moyen de la cybercriminalité a augmenté de 72 % au cours des cinq dernières années, pour atteindre 13 millions de dollars US en 2018.
Dans cet article, nous parlerons des problèmes urgents de confidentialité des données et de leur impact sur votre entreprise.
Pourquoi la confidentialité des données est-elle importante ?
Le récent coup de projecteur sur les problèmes de protection de la vie privée fait suite aux nombreuses cyberattaques qui ont conduit à des violations massives de données personnelles. En réponse, des réglementations visant à renforcer la protection de la vie privée des consommateurs ont été élaborées dans des pays du monde entier, des États-Unis à l’Inde en passant par l’Australie. Le RGPD (règlement général sur la protection des données) européen, en particulier, a eu un impact important. De plus, de nombreux États américains ont adopté leurs propres lois sur la protection de la vie privée, par exemple le CCPA (California Consumer Privacy Act). Leur nombre ne cesse de croître. Nous pouvons nous attendre à davantage de mesures légales à l’avenir, alors que le Congrès des États-Unis s’efforce de mettre en œuvre une loi fédérale sur la protection des données.
Pourquoi la confidentialité des données est-elle importante ? Elle est importante pour les consommateurs, car une violation des informations personnelles peut porter atteinte aux droits et libertés fondamentaux des personnes, notamment le risque d’usurpation d’identité et d’autres types de fraude. Mais les organisations aussi se soucient de la protection des données. Toute collecte non autorisée, tout traitement négligent ou toute protection insuffisante des données personnelles présente de multiples risques. En particulier, les organisations qui ne respectent pas les exigences de protection de la vie privée s’exposent à de lourdes amendes, à des poursuites judiciaires et à d’autres sanctions. Le CCPA, par exemple, accorde le droit privé d’action si une violation se produit et que les données n’ont pas été chiffrées ou anonymisées. Les amendes du RGPD peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel global d’une entreprise pour l’exercice précédent. Les autorités peuvent même interdire à l’entreprise de traiter des données personnelles à l’avenir.
Ces lourdes sanctions pour non-conformité constituent sans doute le principal motif de sensibilisation des organisations à la protection de la vie privée. Les organisations doivent tenir compte de la vie privée avant d’utiliser les données d’une personne, par exemple lorsqu’elles vendent les données personnelles de leurs clients à des tiers. Pour répondre aux exigences modernes de conformité et satisfaire les consommateurs, toutes les organisations doivent prendre des mesures pour protéger contre les cyberattaques les dossiers médicaux, les données financières et les autres informations personnelles identifiables qu’elles traitent et stockent.
Prêter attention à la confidentialité des données est un facteur de différenciation.
Si elles ne garantissent pas la confidentialité des données, les organisations sont exposées, en plus des sanctions juridiques, à des risques pour leur réputation. Aujourd’hui, pour conserver la confiance de ses clients, une entreprise doit prouver que la confidentialité des données est l’une de ses valeurs fondamentales. En effet, alors que de nombreuses entreprises considèrent toujours les politiques de confidentialité comme une démarche juridique à effectuer une bonne fois pour toute puis à oublier, l’attitude du consommateur a changé. Selon une étude PwC, seuls 25 % des consommateurs estiment que la plupart des entreprises traitent leurs données personnelles de manière responsable.
Les gens prenant de plus en plus conscience du traitement peu rigoureux de leurs données par les réseaux sociaux, les géants de la technologie et les gouvernements, la mise en place d’un contrôle strict du traitement des informations personnelles devient un véritable avantage concurrentiel. Selon Gartner, les marques qui mettent en place un contrôle des données marketing au niveau utilisateur réduiront de 40 % leur perte de clientèle et augmenteront de 25 % la valeur du client en 2023. Par conséquent, les entreprises vont s’efforcer de faire preuve de transparence en expliquant pourquoi elles collectent et partagent des données spécifiques, et en prouvant qu’elles ont correctement demandé l’autorisation des consommateurs et les ont informés de la collecte et du traitement de leurs données.
Se défendre contre les attaques de la chaîne d’approvisionnement.
L’une des principales tendances pour l’année à venir sera la gestion des risques liés aux tiers. Si les violations de données subies par les grandes entreprises font la une des journaux, leurs chaînes d’approvisionnement constituent également une cible de choix pour les pirates, en raison de leurs connexions numériques aux grandes entreprises.
Les entreprises doivent donc s’assurer que leurs partenaires, fournisseurs, revendeurs et prestataires de services protègent correctement les données. Par exemple, le RGPD exige de ne travailler qu’avec des tiers capables de démontrer qu’ils ont mis en place des mesures de protection des données personnelles. En conséquence, les organisations doivent adopter une approche basée sur les risques pour évaluer leurs partenaires et fournisseurs, et établir des accords sur des aspects tels que l’obligation de notification des violations de données et la coopération pour satisfaire les demandes des personnes concernées.
La formation des employés va prendre de plus en plus d’importance.
L’une des principales tendances pour 2020 sera la sensibilisation à la confidentialité des données ; les organisations vont s’efforcer de former leur personnel à la sécurité des données sensibles et aux politiques de gestion des données. L’instauration d’une culture de respect de la vie privée et de la sécurité est une exigence de nombreuses réglementations relatives à la cybersécurité. Il est essentiel pour la sécurité et la conformité d’informer les gens de leurs droits et de leurs obligations, sans oublier de tester régulièrement leur adhésion à votre politique de confidentialité des informations.
Conclusion
Les années à venir seront sans aucun doute marquées par de nouvelles réglementations, avec des exigences plus strictes et des sanctions plus sévères. Il n’y a cependant aucune raison de retarder la mise en œuvre des bonnes pratiques fondamentales. En fait, si vous voulez éviter de figurer dans les gros titres sur les violations de données, commencez dès maintenant à gérer vos risques et faites de la protection de la vie privée une composante fondamentale de votre ADN.
