Le temps est venu de préserver la confidentialité de vos données

Août
19, 2019

5 min de lecture

Les opinions exprimées par les contributeurs de l'Entrepreneur sont les leurs.

Il ne faut pas exagérer le besoin de plus en plus pressant des entreprises de protéger et de gérer les données sensibles qu’elles collectent et utilisent, en particulier dans le climat actuel d’érosion de la confiance. Ce sentiment est devenu un mandat d'outre-mer fin mai dernier, lorsque le règlement général sur la protection des données de l'UE est entré en vigueur. Le GDPR oblige les organisations à éviter que les données ne tombent entre de mauvaises mains et à ce qu'elles soient obtenues par consentement. Il incombe également aux entreprises de respecter les droits des particuliers en tant que propriétaires de données, par exemple en adhérant aux demandes d'accès.

Cependant, plus d'un an après son introduction, et deux autres depuis l'annonce de la réglementation, une nombre alarmant d’entreprises doivent encore se conformer. Selon une étude récente seules 35% des entreprises européennes ont fourni des données à caractère personnel à des clients qui en ont fait la demande. Et seulement 52% des employés américains savent même qu'il existe des lois qui déterminent la manière dont les informations confidentielles sont traitées.

Les conséquences potentielles du non-respect sont également importantes, avec des amendes de niveau supérieur à un minimum de 20 millions d'euros (ou à peine 22,5 millions de dollars). Comme si cela ne suffisait pas, les règles supplémentaires en matière de confidentialité des données sont en cours d’élaboration, et il sera encore plus difficile de rattraper le retard.

Related: La confidentialité des données client est-elle réellement importante? Il devrait.

À savoir, la loi californienne sur la protection du consommateur (CCPA), qui entrera en vigueur en janvier, comprend certaines dérogations nuancées au RGPD. Entre-temps, la loi sur la protection de la vie privée très stricte de New York commence déjà à faire son chemin au sein de l'assemblée de l'État. De même, toute entreprise faisant affaire avec un public mondial doit être au courant de ses processus de collecte et de stockage de données. La loi russe sur la confidentialité des données par exemple, stipule que les données personnelles de ses citoyens doivent être stockées sur des serveurs situés dans leur pays.

Même Google, avec ses énormes ressources technologiques, n’est pas à l’abri des erreurs de conformité; ils ont été frappés d'une amende de 57 millions de dollars par la CNIL, le groupe français de surveillance de la protection des données. Tenez compte de ces quelques conseils pour éviter un sort similaire.

La conformité ne va pas s’améliorer

Les faibles taux de conformité du GDPR sont un peu trompeurs, car ils impliquent que personne n’essaye. Un rapport récent a révélé que plus des deux tiers des entreprises avaient consacré des dizaines d'employés à la gestion de l'énigme du RPGD. Le même rapport estime que cet investissement a permis à une seule législation de consacrer des milliers d’heures de travail, les professionnels de la protection de la vie privée consacrant en moyenne 160 heures à la préparation et au maintien de la conformité au RGP.

En effet, des ressources importantes ont été consacrées vers la conformité, mais les cadres réglementaires sont complexes Il n'est pas de bon augure que environ deux tiers des professionnels de la protection de la vie privée s'accordent pour dire que les taux d'adoption de l'ACCP sont inférieurs à ceux du GDPR. Clairement, il est crucial que votre entreprise mette en place ses garanties de confidentialité avant que les risques juridiques, financiers et de ne deviennent une réalité.

Calculez comment fermer vos aps

RGPD, lois américaines et autres lois en vigueur créent collectivement des angles morts de conformité potentiels. Vous pensez peut-être que vos systèmes sont sécurisés, mais l'interconnectivité de la technologie peut laisser de graves lacunes. Par exemple, considérons une entreprise basée aux États-Unis qui organise des événements pour un public international. Leurs pratiques en matière de données doivent être conformes aux exigences du GDPR, quel que soit le lieu de résidence des participants.

"La conformité des données n'est pas sexy, mais elle est essentielle pour ce secteur", explique Adrien Petersen, CTO de la solution d'enregistrement d'événements . . À mesure que les technologies événementielles progressent, des fonctionnalités telles que la reconnaissance faciale suscitent de plus en plus d'inquiétudes et de lacunes potentielles en matière de conformité.

Quelle que soit votre industrie, une approche de bout en bout est essentielle. Les spécialistes en intégration de données chez Talend ont décrit une approche en 16 étapes qui correspond à des articles spécifiques de la législation GDPR susceptibles de faire échouer votre entreprise. Leur processus couvre les domaines de problèmes potentiels, notamment:

• Licéité du traitement de données
• Conditions du consentement de l'utilisateur
• Traitement de catégories particulières de données à caractère personnel, notamment la race, l'origine ethnique et les opinions politiques ou religieuses.
• Traitement de masquage des données
• Documenter une lignée de données pour vérifier le traitement de la conformité

La conformité totale n’est garantie que lorsque votre entreprise dispose, dans l’ensemble de son infrastructure informatique, de pratiques visant à collecter, normaliser, réconcilier, certifier, protéger et propager

Liés: La loi sur la protection de la vie privée de la Fed et des États-Unis

La conformité SaaS est extrêmement délicate

La complexité de la gestion des entreprises dépend recours croissant aux applications SaaS . Les applications Web sont utilisées dans la plupart des organisations des départements des finances, des ventes, du marketing, de la technologie et des ressources humaines, les données étant souvent conservées à distance, en dehors du mandat de l’organisation. Les entreprises peuvent utiliser des centaines, voire des milliers d'applications sur l'ensemble du bassin d'employés, et le risque de conformité global est amplifié pour deux raisons. Premièrement, un fournisseur SaaS peut ne pas communiquer clairement les données qu'il stocke sur quels serveurs et comment ces données sont utilisées. En intégrant cette application dans votre système, vous devenez responsable de leurs éventuels oublis. Et deuxièmement, étant donné que les applications Web sont si faciles à adopter, le service informatique ne sait souvent pas quels produits SaaS sont utilisés dans l'entreprise, ce qui les empêche de prendre conscience de l'ampleur de leur exposition aux risques.

En tant qu'Uri Native, cofondateur de La solution de gestion SaaS Torii explique: "Un système unique d'enregistrements pour tous vos SaaS constitue la base d'une gestion conforme SaaS." Pour garantir une conformité totale, Nativ prévient que votre service informatique doit reprendre immédiatement le contrôle des piles de technologies de leur entreprise. Et il ajoute que si un employé quitte son poste ou est licencié, "il s'agit évidemment d'un risque énorme, car vous exposez les données sensibles de votre entreprise à une personne à qui vous n'avez plus aucune raison de faire confiance, qui ne devrait pas pouvoir accéder en premier lieu. "

Avec des législateurs implacables désireux d'apaiser un public craintif, nous pouvons nous attendre à des défis supplémentaires en matière de respect de la vie privée. Il est maintenant temps de bien maîtriser les risques liés aux données et leur résolution. La responsabilité en cas de non-respect augmente chaque jour davantage.