Quel impact la nouvelle directive sur la protection des données a-t-elle eu sur les entreprises jusqu’à présent?

A la fin de la semaine dernière, nous avons franchi le cap des 100 jours depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD), qui touche les entreprises du monde entier.

Tous ceux qui s’attendaient à des pénalités immédiates pour en faire la une des journaux doivent être déçus. Bien que la Commission Européenne ait reçu des plaintes concernant des entreprises telles que Facebook, Google, Instagram et WhatsApp dans les heures qui ont suivi l’entrée en vigueur de la nouvelle loi sur la protection des données, aucun cas majeur n’a été observé à ce jour. Comme la nouvelle directive augmente les amendes maximales jusqu’à 20 millions d’euros (17,6 millions de livres sterling), ou 4 % du chiffre d’affaires annuel global, alors que le maximum était fixé à 551 000 euros (500 000 livres sterling) dans la version « originale » de la législation, l’intérêt des médias ne s’estompera probablement pas de sitôt.

La situation, tout juste avant l’entrée en vigueur du RGPD?

Bien avant l’entrée en vigueur des directives strictes de RGPD, les experts d’ESET avaient évalué l’état des préparatifs à ce changement majeur en matière de protection des données. Cette évaluation a été réalisée au moyen du formulaire de contrôle de conformité de l’entreprise. Au cours du semestre allant de novembre 2017 à mai 2018, plus de 27 000 participants – provenant principalement des pays de l’Union européenne, où cet outil d’évaluation en ligne gratuit était activement promu – ont complété ce questionnaire.

Cette évaluation de la conformité a permis de découvrir divers faits intéressants concernant les entreprises de l’UE. Il apparait maintenant clairement que la plupart des entreprises détiennent des données personnelles (ou PII, personally identifiable information) sur leurs clients (82,6 %) et leurs employés (70,2 %). En outre, un peu plus d’un cinquième des participants ont révélé détenir des PII supplémentaires telles que des données biométriques ou relatives à la santé.

« Une vérification de la collecte et du traitement des données pourrait être l’action la plus utile qu’une entreprise puisse faire par rapport au RGPD. Même aujourd’hui, quelques mois seulement après l’entrée en vigueur de cette directive, c’est le moyen le plus simple de s’assurer qu’on n’omettra rien lorsque on se conformera aux règles du RGPD», explique Tomáš Mičo, avocat principal chargé de la protection des données et des licences chez ESET. « Quel que soit le résultat, il donnera à l’entreprise des perspectives équitables pour l’avenir et une vue d’ensemble des investissements nécessaires. A l’heure des budgets, c’est peut-être le meilleur moment de l’année pour faire cet exercice s’il n’a pas déjà été fait. »

Par ailleurs, plus de la moitié (56 %) des entreprises ont admis ne pas avoir effectué d’audit pour s’assurer de respecter les nouvelles règles, tant quant à la manière dont leur entreprise collecte les données personnelles, qu’à leurs sources et les personnes avec lesquelles elles les partagent. Un peu plus de la moitié de ces organisations (51,4 %) n’avaient pas documenté les mesures de sécurité techniques et organisationnelles qui s’appliquent à la façon dont ces documents sont traités. Et à peine six mois avant l’échéance du RGPD, seulement 47 % des personnes-clés au sein de ces entreprises étaient pleinement conscientes de tous les changements aux règles entraînés par le RGPD.

La sécurité en cette nouvelle ère de protection des données

Le contrôle de conformité d’ESET est allé encore plus loin et s’est enquis des mesures techniques appliquées par les entreprises pour empêcher l’accès non autorisé et l’utilisation des données personnelles par les cybercriminels.

Selon ces données, le type de protection le plus utilisé est le logiciel de détection et de protection contre les logiciels malveillants (90,6 %). Les entreprises utilisent également des logiciels de protection des navigateurs (87,8 %), des pare-feu (83,6 %), des logiciels de restriction d’accès (83,7 %) et des réseaux Wi-Fi protégés par mot de passe (81,9 %).

Interrogées sur les logiciels de chiffrement – la méthode-clé de protection des données personnelles prescrite par le RGPD - avant l’entrée en vigueur de la directive, seulement un tiers des entreprises interrogées avaient mis en œuvre une partie de cette méthode de protection. Parmi les entreprises sondées, le chiffrement le plus couramment mis en œuvre l’était via courriel (32,5 %), suivi du chiffrement des fichiers locaux (31 %) et du chiffrement du réseau/du cloud (30,5 %).

« En regardant les données recueillies, on constate avec surprise que seulement un quart des participants ont mis en place un logiciel qui chiffre le contenu des disques et des clés USB. La perte ou le vol de tout appareil contenant des données sensibles et personnelles non protégées représente un danger indéniable pour les entreprises concernée », explique David Tomlinson, responsable d’ESET Endpoint Encryption. « Depuis l’entrée en vigueur du RGPD, le nombre de logiciels de chiffrement utilisé n’a cessé d’augmenter, de sorte que l’on peut s’attendre à ce qu’il soit plus élevé aujourd’hui qu’il y a quelques mois, bien que nous ne disposions pas encore de données pour appuyer cette opinion. »

Le RGPD est bel et bien là. Bien que les régulateurs en matière de protection des données aient été magnanimes en ce qui concerne le paiement des amendes au cours des premiers mois qui ont suivi la création du RGPD et que la Commission européenne ait évité quelques millions de pénalités ici et là, le temps des amendes massives viendra tôt ou tard. Si une entreprise n’est toujours pas conforme à la nouvelle législation, elle ne doit plus attendre.

Pour plus d’informations sur le règlement général relatif à la protection des données, visitez la page d’ESET dédiée à ce sujet.
https://encryption.eset.com/fr/