Eh bien, ces dernières semaines ont été riches en événements. Alors que nous avons passé le cap du 1er anniversaire de la mise en œuvre du GDPR, il semblait que de nombreuses organisations étaient restées relativement indemnes de la menace de sanctions financières en cas de non-conformité au nouveau règlement.
Selon le Conseil européen de la protection des données, les régulateurs de 11 pays ont émis des amendes d'un montant total de 55,96 millions d'euros pour des violations du GDPR. Toutefois, la majeure partie de ce chiffre concernait l'amende de 50 millions d'euros infligée à Google par la Commission nationale de l'informatique et des libertés (CNIL) française. L'entreprise avait été mise en cause pour avoir traité des données personnelles à des fins publicitaires sans avoir obtenu l'autorisation requise par le GDPR.
Les organisations ont poussé un soupir de soulagement collectif en constatant que les amendes n'étaient pas aussi importantes que prévu, mais pendant deux jours, l'Information Commissioner's Office (ICO ) a déchaîné sa puissance.
British Airways a été condamnée à une amende massive de 183 millions de livres sterling pour une violation de la sécurité qui a exposé les données personnelles de plus de 565 000 clients. Un jour plus tard, le groupe hôtelier international Marriott a été condamné à une amende de 99,2 millions de livres sterling pour une énorme violation de données qui a exposé les données personnelles de 339 millions de clients à travers le monde. L'ICO a confirmé qu'environ 30 millions des dossiers piratés concernaient des résidents de 31 pays de l'Espace économique européen.
Il est intéressant de noter que dans les deux cas, l'ICO n'a pas imposé l'amende maximale de 4 % du chiffre d'affaires annuel mondial. Les amendes dépendent de la gravité de la violation et du niveau de coopération. British Airways a pleinement coopéré avec l'ICO et s'est vu infliger une amende de 1,5 % de son chiffre d'affaires annuel mondial. Si l'ICO avait exigé le maximum de 4 % du chiffre d'affaires total de la compagnie, l'amende aurait pu s'élever à un montant stupéfiant de 489 millions de livres sterling.
Il est clair que ces deux amendes changent la donne en ce qui concerne le GDPR et ont ouvert la voie à des amendes encore plus importantes à l'avenir. L'ICO a démontré à quel point elle entendait prendre au sérieux les violations du règlement et les organisations ont pris conscience des conséquences de la non-conformité.
Le GDPR en 2019 - Que nous ont appris les 12 derniers mois ?
Les 12 derniers mois ont été une courbe d'apprentissage abrupte pour de nombreuses organisations. La conformité au GDPR n'aurait jamais été un processus facile, mais pour certaines organisations, notamment les grandes multinationales, la tâche s'est avérée ardue. D'énormes quantités de données réparties sur une grande variété de plateformes, des points d'accès infinis et une augmentation des demandes de données ont rendu la conformité plus difficile que beaucoup auraient pu l'imaginer.
Le GDPR a certainement laissé sa marque sur le monde et, en l'espace d'un an, il a donné lieu à ce qui suit :
Augmentation des rapports
Le GDPR semble encourager les déclarations de violation de données, avec près de 60 000 déclarations déposées depuis l'entrée en vigueur de la loi sur la protection de la vie privée le 25 mai 2018. Les violations de données étaient de gravité variable, allant de brèches mineures à des cyberattaques majeures touchant des millions de personnes.
Les consommateurs sont également devenus plus conscients de leur droit à la vie privée. Après l'entrée en vigueur du GDPR, l'ICO a signalé une augmentation de 160 % des plaintes, et la Commission irlandaise de protection des données a enregistré 6 000 plaintes au cours de la même période.
Nécessité de sécuriser la chaîne d'approvisionnement
Les attaques contre British Airways et Marriott mettent une fois de plus en évidence les difficultés permanentes rencontrées pour sécuriser la chaîne d'approvisionnement d'une entreprise. La violation de BA présente toutes les caractéristiques d'une attaque de Magecart. Ce groupe de menaces est connu pour injecter des scripts d'écrémage de cartes dans des domaines de commerce électronique vulnérables. Pour accéder aux précieuses données clients de BA, le groupe aurait exploité une vulnérabilité dans une ancienne version de la plateforme de commerce électronique Magento, utilisée par l'entreprise.
Dans le cas de Marriott, la violation proviendrait de la base de données des réservations des clients de Starwood, avant que la société ne fusionne avec Marriott. Les cybercriminels semblent avoir changé de stratégie et, plutôt que de cibler directement une entreprise, ils tentent d'infliger des dommages en exploitant les vulnérabilités de son réseau de chaîne d'approvisionnement.
Pour éviter de tomber dans le piège de la législation, les organisations devront procéder à des évaluations de risques détaillées des fournisseurs et contrôler leur conformité au GDPR.
Besoin de formation du personnel
Le GDPR stipule que les employés doivent recevoir une formation régulière de sensibilisation du personnel à la sécurité de l'information. Cette formation est essentielle pour garantir que le personnel connaît les politiques de l'entreprise, les réglementations et les exigences légales qui s'appliquent à son rôle quotidien.
En effet, l'ICO demande spécifiquement sur son formulaire de notification de violation de données personnelles si le personnel impliqué dans la violation a reçu une formation à la protection des données au cours des deux dernières années. Si les organisations ne sont pas en mesure de le démontrer, d'autres enquêtes seront menées.
Les organisations doivent prouver que leur personnel a lu et compris les politiques GDPR. En étant en mesure de le prouver, les organisations sont en position de force pour démontrer que la "confidentialité" fait désormais partie intégrante de leurs activités quotidiennes.
Importance des délégués à la protection des données (DPD)
Selon l'IAPP, on estime que plus de 500 000 organisations ont enregistré des DPO depuis l'entrée en vigueur du GDPR. Les délégués à la protection des données jouent un rôle important dans la protection de la vie privée et sont au cœur d'une responsabilisation efficace. Pour les organisations qui effectuent certains types d'activités de traitement, il est obligatoire de nommer un DPD.
Un DPO doit être nommé si :
- Vous êtes une autorité publique
- vos activités principales nécessitent un suivi à grande échelle, régulier et systématique des individus
- vos activités principales consistent en un traitement à grande échelle de catégories spéciales de données ou de données relatives à des condamnations pénales et à des infractions.
Le DPD doit être un expert du GDPR et des pratiques en matière de protection de la vie privée, car il est responsable du contrôle et du rapport de la conformité au GDPR. Les DPO sont censés aider à guider les contrôleurs de données et les processeurs de données en vérifiant la conformité interne et en suggérant des recommandations correctives appropriées si nécessaire.
Alors, quelle est la prochaine étape pour le GDPR ?
En l'espace d'un an, le GDPR a massivement façonné le paysage mondial de la vie privée. Le règlement a incité de nombreux autres pays du monde à examiner de plus près leurs propres lois sur la sécurité et la confidentialité.
L'Argentine et le Japon ont déjà commencé à aligner leur législation nationale en matière de protection des données sur le GDPR, et le Brésil a mis en œuvre une législation similaire, appelée loi générale sur la protection des données, qui entrera en vigueur le 15 août 2020.
Aux États-Unis, les États de Californie, de New York et du Colorado ont adopté des lois locales sur la confidentialité des données et le Congrès américain envisage d'adopter une loi fédérale sur la confidentialité des données, alors que la pression monte pour une protection plus stricte des données dans tout le pays.
Il ne fait aucun doute que le GDPR a été une force du bien et a incité les organisations à prendre plus au sérieux la protection de la vie privée. S'il est respecté correctement, le GDPR permet aux organisations de devenir plus cyber-sécurisées, efficaces et compétitives sur le marché.
En démontrant leur conformité au GDPR, les entreprises sont susceptibles de bénéficier d'une réduction du risque organisationnel et d'établir un plus grand niveau de confiance avec leurs clients. Cette transparence améliorera, à son tour, la réputation de la marque et conduira au développement de relations plus significatives.
Cependant, comme la cybercriminalité évolue et que les criminels deviennent plus trompeurs dans leurs méthodes d'attaque, les organisations devront continuellement s'attaquer aux risques liés à la confidentialité et à la sécurité pour s'assurer qu'elles sont responsables des données personnelles qu'elles détiennent et qu'elles respectent la législation.
MetaPrivacy a été conçue pour fournir une approche des meilleures pratiques en matière de conformité à la législation sur la protection des données. Contactez-nous pour plus d'informations sur la façon dont nous pouvons aider votre organisation à améliorer sa structure de conformité.
CLAUSE DE NON-RESPONSABILITÉ : Le contenu et les opinions de ce blog sont uniquement destinés à des fins d'information. Ils ne sont pas destinés à constituer un conseil juridique ou professionnel et ne doivent pas être considérés comme un substitut à un conseil spécifique adapté à des circonstances particulières, à la loi sur la protection des données ou à toute autre législation actuelle ou future. MetaCompliance n'accepte aucune responsabilité pour toute erreur, omission ou déclaration trompeuse, ou pour toute perte qui pourrait résulter de la confiance accordée aux documents contenus dans ce blog.
