Par Patrick Grillo, senior director solutions marketing de Fortinet

Le RGPD a fait l’objet de nombreux débats et articles visant à analyser cette réglementation sous différentes perspectives : exégèse de ses articles, impacts potentiels de la réglementation mais aussi ces allégations sur une simplification supposée des efforts de conformité au RGPD en investissant dans une solution X ou un produit Y…

Maintenant que la date du 25 mai 2018 est passée, on note que les prédictions les plus alarmistes ne se sont pas concrétisées et que le Web ne s’est pas vidé de tout contenu intéressant. Les palabres doivent laisser place à une réflexion de fond pour comprendre pourquoi une réglementation aussi radicale que le RGPD a été jugée nécessaire et se pencher sur ce que les organisations doivent prendre en compte au sein d’un monde digital encadré par le RGPD.

Comment la protection des données est-elle devenue un sujet si important ?

À vrai dire, cette prise de conscience a été lente, et sur plusieurs années.

À l’époque des toutes premières réglementations de protection des données, avant le RGPD, le concept de données utilisateur dans un format digital n’en était qu’à ses débuts. Au milieu des années 1990, les utilisateurs d’Internet, dans leur grande majorité, faisaient partie de communautés/services cloisonnés comme AOL. Et comme pour toute nouvelle technologie, Internet était perçu au prisme des multiples opportunités offertes plutôt que des conséquences qui en découlaient.

Mais avec l’évolution technologique, l’accès à haut débit à Internet s’est démocratisé et le panel de services et d’options à disposition s’est élargi. Les entreprises comme Google et Facebook ont créé des modèles économiques fondés sur la collecte, le traitement et l’utilisation des données utilisateur. Cette tendance s’est accélérée avec l’avènement des smartphones et l’adoption massive des “Apps” qui ont libéré l’internaute du fil à la patte que représentaient ses ordinateurs, au bureau ou à la maison.

Cette évolution positive, s’est néanmoins accompagnée d’un volet plus sombre, à savoir un intérêt marqué parmi les hackers et les cybercriminels pour la valeur que représentent les données personnelles. Bien sûr, le détournement de données n’était pas nouveau. Mais compte tenu des réserves importantes de ce nouvel « or noir », d’utilisateurs peu sensibilisés à la valeur et à la confidentialité de leurs données et d’une sécurité aléatoire et souvent minimale des entreprises vis-à-vis des données, les cybercriminels pouvaient tirer parti d’un contexte qui leur était très favorable.

Une autre raison explique la nécessité du RGPD, à savoir un certain laxisme réglementaire vis-à-vis des entreprises victimes d’un piratage. Pourtant, une telle exaction présente un coût direct, indirect et en matière d’image de marque. Mais la majorité des entreprises piratées survivaient à un tel événement et continuaient à mener leurs affaires. Pour faire simple, en dépit des coûts engendrés par le piratage des données, et notamment les pénalités réglementaires, il n’y avait pas de contrainte suffisamment forte (en clair un “bâton”) pour faire la différence. Un piratage de données constituait un risque métier calculé, voire acceptable compte tenu de la valeur réelle des données personnelles, ces dernières pouvant être exploitées à plusieurs reprises par les entreprises.

C’est de ce contexte que le RGPD tire ses origines puisque la réglementation a été conçue pour relever l’ensemble de ces défis et imposer de s’interroger : ”pourquoi la protection des données est-elle si essentielle?”