Assurer la sécurité des données personnelles est une préoccupation cruciale pour les entreprises à l’heure de la mise en œuvre du GDPR. Voici les principales directives de cybersécurité à suivre pour une protection efficace :
Les entreprises ont toujours eu besoin de collecter et de conserver des données sur leurs clients afin d’atteindre leurs objectifs commerciaux et de maximiser leurs produits. Cependant, avec l’introduction de la numérisation, qui a simplifié l’acquisition et la collecte d’informations par les entreprises, la quantité de données collectées n’a cessé d’augmenter dans le but d’offrir des services plus adaptés et d’améliorer leurs performances. Cependant, comment être sûr que les données des clients sont gérées de manière sûre et correcte ?
À qui appartiennent ces données ?
Une donnée personnelle est toute information sur une personne physique qui peut être directement ou indirectement reconnue ou localisée par un identifiant ou par une ou plusieurs caractéristiques associées à l’identité de cette personne.
Une adresse électronique, une localisation, un numéro de carte d’identité, une adresse IP, une photo, un profil social ou culturel sont quelques exemples de données personnelles.
Les interdictions du GDPR sont en vigueur, que ces informations soient utilisées, sauvegardées ou collectées sous forme numérique ou papier. Mais qu’est-ce que le GDPR ?
Le GDPR, ou Règlement général sur la protection des données
Les entreprises doivent se conformer à une nouvelle réglementation européenne, appelée Règlement général sur la protection des données, depuis le 25 mai 2018. (GDPR en anglais). Regardez la vidéo ci-dessous pour bien comprendre la situation.
Les organisations doivent être plus développées et disposer d’un système de gestion de la conformité robuste afin de se conformer au GDPR. Les entreprises doivent être en mesure de prouver leur conformité à la loi, ainsi que les mesures qu’elles ont prises et qu’elles ont l’intention de prendre, à tout moment, afin d’être tenues responsables. Une maintenance à long terme est nécessaire ; il ne suffit pas de mettre un site web en conformité et de garder une trace des opérations de traitement.
En raison de l’effort administratif et de la sévérité des amendes, cette règle peut sembler être un obstacle pour la grande majorité des entreprises, mais elle a fait prendre conscience de l’importance de gérer efficacement la collecte, la création et l’utilisation des données.
Qui cette règle est-elle censée protéger ?
La règle, à quelques exceptions près, est applicable à tout traitement de données à caractère personnel (par exemple, les fichiers de sécurité sont toujours régis par les États et les traitements en matière pénale).
Les responsables du traitement des données (entreprises, entités gouvernementales, associations ou autres organisations) et les sous-traitants (hébergeurs, intégrateurs de logiciels, entreprises de communication, entre autres) doivent avoir leur siège dans l’Union européenne, quel que soit le lieu de traitement des données (UE).
Exfiltration de données via des cyberattaques
Depuis novembre 2019, on constate une augmentation de la tendance à menacer les victimes de publier leurs informations personnelles en ligne afin de les harceler. On parle de double extorsion lorsque l’exfiltration des données intervient avant le chiffrement.
Jamais auparavant, il n’y a eu autant de violations intentionnelles de la sécurité des systèmes d’information. Selon une enquête de Moody’s, entre février 2020 et avril 2020, les cyberattaques contre les institutions financières ont augmenté de 238 % au niveau mondial. L’année dernière, les tentatives d’extorsion ont été neuf fois plus nombreuses.
En outre, un rapport intitulé « Enduring from Home : Covid-19’s Impact on Business Security » a révélé que 24 % des entreprises interrogées avaient dû engager des dépenses imprévues pour faire face à des problèmes de cybersécurité depuis le début de la pandémie.
Menace pour les informations personnelles et la vie privée : les logiciels espions
Un logiciel espion est un logiciel qui s’infiltre dans un système informatique pour acquérir le profil de navigation d’un utilisateur ou des informations personnelles à des fins commerciales ou de surveillance. Il peut, par exemple, espionner WhatsApp, un ordinateur ou toutes les activités d’un smartphone, y compris les messages et la géolocalisation.
Dans la plupart des cas, le logiciel espion placé sur votre ordinateur ne modifiera pas les applications et n’endommagera pas les données. Au contraire, il s’assure que l’ensemble de votre système reste dans le même état qu’avant l’agression, ce qui lui permet d’accéder et de collecter des informations personnelles qui seront ensuite envoyées à l’attaquant.
Ce programme est gênant car il est difficile à trouver et, lorsqu’il l’est, le mal est déjà fait. Ces dernières années, l’affaire Pegasus a encore attiré l’attention sur la question de la cybercriminalité.
Les violations sont encore fréquentes.
Les abus se poursuivent malgré des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise au cours de l’exercice précédent. Certaines petites et moyennes entreprises participent à des activités illicites comme les « sweepstakes » car elles pensent passer inaperçues par rapport aux géants du secteur et sont donc exemptées de sanctions. L’entreprise organise un concours sur ses canaux de médias sociaux. Elle collecte ensuite les données personnelles des participants et les ajoute à sa base de données clients afin de pouvoir leur envoyer ultérieurement des newsletters ou des publicités personnalisées.
Nous détectons également des entreprises beaucoup plus connues et importantes qui peuvent partager les données des utilisateurs. En fait, la Commission de protection des données (CPD) a ouvert deux procédures contre la société TikTok le 14 septembre 2021.
La première est liée au transfert potentiel des données des utilisateurs du programme vers la Chine (Bytedance, une entreprise chinoise, est propriétaire de TikTok), et la seconde est liée à la façon dont le réseau social traite les données relatives aux mineurs.
Par ailleurs, l’ensemble des sites de la CNIL a reçu environ 10 millions de visiteurs, soit une hausse de 21% par rapport à l’année précédente, dont plus d’un million sur la rubrique « Besoin d’aide ». En outre, 13 585 plaintes ont été déposées auprès de la CNIL l’année dernière, soit une augmentation de 62,5% depuis l’introduction du GDPR. Ce nombre, encore élevé mais cohérent par rapport à 2019, montre que les citoyens français sont de plus en plus conscients de leurs droits.
Rapport d’activité 2020 de la CNIL, plaintes déposées auprès de la CNIL en 2020.
Quelle évaluation a été faite du RGPD trois ans après sa mise en application ?
Il est évident qu’au cours des trois dernières années, un nombre important d’organisations ont lancé une démarche de mise en conformité pour renforcer et étendre la sécurité des données de leurs clients ou utilisateurs, même si l’adoption de la règle européenne par les entreprises a été poussive.
Le site Open Cnil recense environ 76 000 délégués à la protection des données désignés en 2021. (ou DPO). Le DPO constitue un atout stratégique crucial pour les entreprises. La CNIL a sanctionné Google LLC et Google IRELAND LIMITED à hauteur de 100 millions d’euros en 2020, preuve que les sanctions de la Commission ont augmenté de manière significative suite aux nouvelles règles.
Conclusion
La quantité de données personnelles transmises ne cesse de croître en raison de l’augmentation de l’utilisation des médias et des réseaux sociaux, de la prolifération des appareils connectés et de la vitesse de transmission des données.
Il semble qu’il soit de plus en plus difficile de préserver la vie privée et l’anonymat des utilisateurs sur les réseaux. De même, l’attrait financier des données sensibles, voire personnelles, entraîne une augmentation des vols de données. En raison de la fréquence et de la complexité des cyberattaques, les entreprises ont plus de mal à développer leur résilience.
L’Anssi estime une augmentation de 255 % des cyberattaques entre 2019 et 2021, avec notamment une augmentation significative des incidents de type ransomware (virus qui bloque le fonctionnement d’une entreprise contre une rançon). Les sociétés internationales, les petites et moyennes entreprises et le secteur médical…. Ces derniers mois, il ne s’est pas passé une semaine sans qu’une cyberattaque ne fasse la une des journaux. Les entreprises ne peuvent plus se contenter de protéger leur infrastructure ou leur savoir-faire informatique pour conserver leur position d’acteurs fiables. Elles doivent être capables de faire preuve de ténacité face à l’escalade des cybermenaces et mettre en place des mesures de cybersécurité efficaces.
Le RGPD reste important aujourd’hui, trois ans plus tard, et nécessite un suivi de la conformité technique et juridique à long terme alors que les cyberrisques augmentent.