Sécuriser la donnée : le grand enseignement du RGPD
Bastien Bobe, Directeur technique EMEA, chez Lookout
Depuis 5 ans, le RGPD régit la vie des organisations privées et publiques. Si ce cadre européen a pu donner lieu à des amendes, il nous a surtout enseigné combien la data devait être au cœur de nos préoccupations sociétales.
Les spécialistes de l’enfance l’affirment : 5 ans correspondraient à l’âge de l’apaisement et ouvriraient une période au cours de laquelle les enfants contestent moins les règles édictées par leurs parents. Cette caractéristique de l’évolution humaine est-elle transposable aux politiques publiques ? Cinq années après avoir été adopté par le Parlement européen, le 27 avril 2016, le Règlement Européen sur la Protection des Données (RGPD) semble encore perfectible… mais nous sommes sur la bonne voie.
Des amendes record en 2022
Commençons par la dimension perfectible du RGPD. Selon une enquête menée l’an dernier par le cabinet d’avocats DLA Piper à l’échelle des 27 pays de l’Union Européenne, le non-respect du Règlement a abouti à une augmentation de 168% des amendes au cours de 2022. Le montant global de la facture a de quoi impressionner puisqu’il se monte à près de 3 milliards d’euros… L’amende la plus importante (405 M€) a été infligée à Meta Platform (Facebook, Instagram, WhatsApp…), en Irlande, pour manquements présumés à la protection des données personnelles des enfants sur Instagram. Cela reste toutefois moins que les 746 millions d’euros infligés à Amazon en 2021, amende qui reste à ce jour la plus importante émise par un régulateur de données basé au sein de l’UE. Quoi qu’il en soit, ces chiffres sont là pour nous indiquer que toutes les entreprises ne se sont pas encore conformées strictement au cadre légal du RGPD, alors même que celui-ci fait consensus auprès des opinions publiques en Europe comme en France.
Acculturer les entreprises
Mais le RGPD a aussi eu nombre d’effets positifs sur les organisations. Le règlement a d’abord eu le mérite d’aborder de manière assez claire la question de la protection des données. Il a constitué l’opportunité de mettre en place un ensemble de bonnes pratiques de sécurité et de confidentialité des données traitées au sein des organisations comme dans l’espace familial et personnel. Le RGPD aura permis de consolider la confiance des consommateurs et des clients, les marques étant mises en demeure de prouver à leurs utilisateurs que leurs données personnelles sont bel et bien protégées. Il aura encore permis d’optimiser certaines stratégies de conquête de marchés, et de responsabiliser la chaîne des fournisseurs. Au final, ce cadre a entraîné une large acculturation des organisations et aidé certaines directions générales à débloquer un budget propre à la sécurité des données.
Cloud : la sécurité est une culture
Au-delà de ce cadre légal, dont on espère qu’il continuera d’infuser dans les pratiques des organisations privées comme publiques, le RGPD est là pour nous rappeler combien la sécurité relève d’un prérequis. C’est particulièrement vrai avec le cloud, dont l’essor est actuellement sans précédent. C’est dans le cloud que se noue une grande partie de la problématique de la protection des data actuelles. Certaines plateformes spécialisées en protection des données ont depuis de nombreuses années acquis une forte expertise de la cybersécurité, et protègent l’ensemble de ces informations. Qu’elles soient structurées (c’est-à-dire prédéfinies et formatées selon une structure précise) ou non structurées (fichiers bureautiques), les données qui contiennent des informations personnelles doivent être restreintes aux seules personnes accréditées. Au moment de leur partage avec un tiers de confiance, elles doivent être identifiées automatiquement et protégées par du chiffrement ou par de la réécriture partielle. Il s’agit là une forme de compliance, conformité notable au moment même où de nombreuses organisations utilisent le cloud et où les cybercriminels multiplient leurs attaques en rendant publiques certaines données.
Si le Règlement Européen sur la Protection des Données est un cadre que chaque entreprise se doit de respecter, il constitue également un cap à suivre : celui de la protection des données, dans un contexte où nos univers professionnels et personnels sont de plus en plus entremêlés. Au sein du monde actuel, il est devenu clair que tout tourne autour de la donnée. Bien au-delà des appareils par lesquelles celles-ci sont produites (ordinateurs, tablettes, smartphones…), c’est la data qu’il convient absolument de protéger.
C’est pour cette raison que la sécurité du cloud est au cœur des préoccupations actuelles, et qu’elle est appelée à le rester.