Par Xavier Feraud, Digital Security
Pratiquement deux ans jour pour jour après l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données), le constat s’apparente à celui du « verre à moitié plein ». Si la plupart des entreprises ont mis en place les fondamentaux (DPO, registre et licéité des traitements…), il reste encore beaucoup à accomplir pour satisfaire à la totalité des exigences.
Si l’on revient deux ans en arrière, le souvenir qui prévaut est d’abord celui d’un vent de panique. Bien que l’échéance du 26 mai 2018 fût connue de longue date, beaucoup ont attendu le dernier moment pour agir. Toutefois, ce rush, accompagné d’un fort battage médiatique, a contribué à une vraie prise de conscience. Désormais, tout le monde sait ce qu’est une donnée personnelle et a compris qu’il s’agissait d’un patrimoine sensible qu’il fallait manipuler avec précaution en regard des risques encourus.
La CNIL, chargée de contrôler l’application du RGPD, a laissé aux entreprises le temps de s’organiser et a commencé à sanctionner ou pour le moins admonester les contrevenants (avertissements à l’encontre de quelques startups spécialisées dans le « reciblage publicitaire », mise en demeure de grands acteurs français et internationaux…).
Avant le Covid-19, face à l’effort nécessaire pour se mettre en conformité certains commençaient à baisser la garde, quand d’autres déployaient d’importants moyens pour atteindre cet objectif. On peut noter que différentes études faisaient ressortir que 10 % à 30 % des sites Internet respectaient les règles relatives aux mentions liées à la confidentialité et à la gestion des cookies et qu’une grande partie de ces sites étaient sur la bonne voie.
La crise du Covid-19 a eu deux effets sur le processus de mise en conformité avec le RGPD :
- 60 % des entreprises disent avoir ralenti les travaux de mise en conformité, qui n’apparaissaient peut-être plus comme prioritaires, alors que 40 % d’entre-elles disent avoir profité du confinement pour accélérer ce processus (lien) ;
- le déploiement de l’application « StopCovid » n’a fait qu’alimenter les nombreux débats autour de la protection des données à caractère personnel.
En conclusion, le processus de mise en conformité avec le RGPD avance mais la crise a eu pour effet paradoxal de ralentir son mouvement tout en renforçant la prise de conscience collective. Trois questions restent en suspens :
- La CNIL aura-t-elle les ressources suffisantes pour réaliser ses missions et étendre ses contrôles ?
- Comment, en cette période de crise, entreprises et citoyens perçoivent-ils les messages délivrés par les autorités et les experts ainsi que les polémiques suscitées par l’application « StopCovid » ?
- Les mesures prises pendant le confinement (télétravail massif…) vont-elles conduire à une réorganisation du travail et des espaces privés et professionnels ; quel en sera l’impact sur les dispositifs de sécurisation des données ?
La protection des données à caractère personnel est un fondement majeur de nos sociétés modernes et démocratiques. Aussi, le bien-fondé du RGPD n’est pas contestable. Il bouscule donc bien des habitudes de conception et de développement des systèmes d’information, et sa mise en œuvre va réclamer des efforts importants de sensibilisation et d’évolution des pratiques. Pour poursuivre et finaliser l’implémentation du RGPD, l’heure est donc moins que jamais au relâchement.
Xavier FERAUD, consultant expert en cyber sécurité, a rejoint les équipes de Digital.Security en 2017.. Après un début de carrière dans la programmation système et le conseil en intégration d’outils de supervision réseau et système, a basculé naturellement dans le conseil en cyber sécurité. Ces connaissances du fonctionnement des systèmes d’information lui permette de conseiller au mieux les entreprises sur la part nécessaire entre la mise en œuvre des mesures de sécurité technique et l’organisation de ces mesures. Il participe aujourd’hui à des missions d’audit et de conseil sur tous types de projets en respect de la plupart des référentiels du marché.
