Se préparer à savoir comment le RGPD peut être bon pour les affaires

Publié: 2018-05-24

La confidentialité et la protection des données ne sont pas que des mots à la mode. Ce sont de graves préoccupations des consommateurs qui sont motivées par un nombre croissant de violations de données et de menaces à la cybersécurité, qui compromettent ensuite les informations personnelles des consommateurs et érodent la confiance des consommateurs.

Selon l'enquête de RSA sur la confidentialité et la sécurité des données, qui a interrogé 7 500 personnes dans cinq pays, les consommateurs signalent qu'ils accordent plus d'attention aux failles de sécurité en ligne. Et ils tiennent les entreprises responsables lorsque leurs informations sont volées.

Voici deux conclusions clés de cette enquête :

  • 73% des personnes interrogées sont plus conscientes des violations de données qu'il y a cinq ans.
  • 62 % ont déclaré qu'ils blâmeraient l'entreprise qui a perdu leurs données avant de blâmer les pirates.

Dans l'ensemble, les consommateurs montrent qu'ils protègent de plus en plus leur vie privée numérique. N'oubliez pas qu'une violation des données des consommateurs ne doit pas nécessairement entraîner un vol prémédité ou une violation massive d'informations privées. Lorsqu'un tiers achète la liste d'abonnés aux e-mails d'une entreprise, puis envoie des e-mails non sollicités à cette liste, cela peut également constituer une violation de données.

Aucune de ces activités ne convient aux consommateurs, et ces sentiments des consommateurs obligent les entreprises à repenser la façon dont elles protègent les données des consommateurs en ligne.

Ces sentiments obligent également les gouvernements à adopter une approche plus active dans la réglementation de la protection des informations des consommateurs. Certains gouvernements commencent à promulguer des lois qui accordent aux consommateurs une plus grande propriété de leurs données, peu importe qui stocke ces données.

L'un de ces règlements est le Règlement général sur la protection des données (RGPD) de l'Union européenne, qui entre en vigueur le 25 mai 2018. Cette norme de protection des données, conçue pour permettre aux consommateurs de donner ou de refuser leur consentement quant à savoir qui peut accéder à leurs données, présente de sérieux défis. pour les entreprises de commerce électronique.

Mais c'est un défi que les entreprises doivent considérer comme une opportunité de nouer de meilleures relations avec les consommateurs.

Si les consommateurs sont plus susceptibles de blâmer une entreprise pour les violations de données, ils peuvent également être plus susceptibles de féliciter une entreprise qui travaille avec eux pour protéger leurs données. Par conséquent, les organisations seraient sages de montrer qu'elles souhaitent protéger leurs consommateurs en travaillant rapidement pour la conformité au RGPD.

La portée du RGPD

Le Règlement général sur la protection des données uniformise les lois sur la protection des données dans les 28 États membres de l'Union européenne. L'objectif principal du règlement est de créer une protection plus cohérente des données des consommateurs dans tous les pays de l'UE.

Le RGPD est un règlement très complet, contenant plus de 200 pages et plus de 90 articles. Nate Lord de Digital Guardian identifie certaines des exigences clés du RGPD qui auront un impact significatif sur les entreprises :

  • Consentement au traitement des données
  • Des données anonymisées et transparentes
  • Notifications de violations de données
  • Droit à l'effacement
  • Délégués à la protection des données
  • Sanctions en cas de non-conformité

Comme le note MarTech Today, les protections GDPR imposent des processus et des communications clairs et concis, qui sont effectués avec le consentement explicite et affirmatif des consommateurs. À cette fin, le RGPD protège toute information pouvant être utilisée pour identifier directement ou indirectement un individu. Cela comprend les informations d'identification de base, les données Web, les données sur la santé, les données ethniques et les opinions politiques.

Pour être conformes au RGPD, les entreprises doivent traiter avec soin toutes les données personnelles des consommateurs et fournir aux consommateurs divers moyens de contrôler, surveiller et supprimer leurs informations s'ils le souhaitent.

Le RGPD s'applique à deux principaux groupes d'entités :

  • Entreprises situées dans l'UE
  • Entreprises non situées dans l'UE qui offrent des biens ou des services gratuits ou payants, ou qui surveillent le comportement des résidents de l'UE

Ainsi, même pour les entreprises de commerce électronique basées aux États-Unis qui vendent principalement aux consommateurs américains, une simple campagne de reciblage AdWords pourrait être considérée comme une surveillance du comportement des résidents de l'UE.

Pour les entreprises de commerce électronique non européennes, deux options s'offrent alors à vous : vous conformer au RGPD ou perdre complètement l'accès au marché de consommation de l'UE.

La deuxième option serait lourde et à courte vue. Pensez simplement à tout le travail qu'il faudrait pour empêcher les citoyens de l'UE de faire du lèche-vitrines sur votre site.

Au lieu de cela, la meilleure chose à faire est de se conformer au RGPD et, par conséquent, d'honorer les demandes des consommateurs auxquels vous faites du marketing et de la vente.

Pourquoi le RGPD est bon pour le commerce électronique

Kris Lahiri, co-fondateur et responsable de la sécurité chez Egnyte, affirme que le RGPD donne aux consommateurs un contrôle nettement plus important sur les données qu'ils ont confiées aux entreprises.

L'idée clé ici est la « confiance » : le RGPD a l'intention d'établir de nouvelles règles de base pour les relations entre les entreprises et les consommateurs, et dans ce nouveau paysage, le succès des ventes directes aux consommateurs dépendra de la capacité d'un détaillant à démontrer sa fiabilité. Comme nous l'avons vu, près des deux tiers des consommateurs soutiennent que la responsabilité de la protection des données incombe à l'entreprise qui les collecte. En prenant cette responsabilité aussi au sérieux que la loi l'exige, les détaillants en ligne peuvent démontrer leur fiabilité aux consommateurs.

Encore une fois, le RGPD n'est pas simplement une mesure de sécurité des données. Il s'agit d'une loi progressiste qui oblige les entreprises à honorer les droits des consommateurs européens à la propriété de leurs propres données. Cette loi stipule, entre autres, qu'un citoyen de l'UE a le droit de ne pas être ciblé par des messages marketing sans avoir d'abord choisi de participer à cette conversation.

Dans des secteurs tels que le commerce électronique, où la fidélité des consommateurs doit être gagnée au fil du temps, honorer le droit d'un consommateur à la vie privée n'est pas simplement une bonne chose.

C'est un élément fondamental de la confiance.

Crunching Numbers : l'analyse de rentabilisation pour être proactif en matière de conformité

La charge de travail des entreprises pour se mettre en conformité est potentiellement lourde, en fonction des structures et des processus de sécurité actuels d'une organisation, et de leur divergence par rapport au RGPD. La conformité au RGPD peut également être très coûteuse pour les entreprises. Selon une enquête Propeller Insights de mars 2018, 36% des entreprises prévoient de dépenser entre 50 000 $ et 100 000 $ pour les efforts de conformité au RGPD. Un autre 24 pour cent dépensera entre 100 000 $ et 1 million de dollars.

Mais ces investissements monétaires pourraient être dérisoires par rapport à la perte d'activité si les consommateurs perdent leur confiance dans une organisation. La protection de leur vie privée en ligne est primordiale pour les consommateurs, et ils ont le pouvoir de nuire aux entreprises qui ne font pas assez pour les protéger.

En faisant des efforts pour se conformer au RGPD, les organisations peuvent transformer la réglementation en pratiques commerciales saines qu'elles peuvent utiliser pour établir de meilleures relations avec les consommateurs.

En outre, d'un point de vue commercial, investir du temps et de l'argent dès le départ pour la conformité peut faire économiser de l'argent aux entreprises à long terme en empêchant des violations coûteuses. Selon l'étude 2017 sur le coût des violations de données du Ponemon Institute, le coût moyen d'une violation de données est de 3,62 millions de dollars. C'est une somme d'argent importante pour une cause évitable.

En mettant en œuvre les exigences de sécurité du RGPD, les entreprises pourraient dépenser une somme à cinq chiffres maintenant pour éviter d'avoir à payer une somme à sept chiffres plus tard.

Comment se préparer à la conformité au RGPD

La préparation au RGPD varie selon l'organisation, mais voici quelques étapes de base que les entreprises de commerce électronique peuvent suivre pour aller dans la bonne direction.

1. Impliquez toutes les parties prenantes

La première chose à faire est de mettre en place un groupe de travail GDPR qui comprend des membres de l'équipe de tous les niveaux de l'organisation. Tout groupe au sein de l'entreprise qui collecte, analyse, traite ou interagit d'une autre manière avec les données des consommateurs doit être inclus. Ces membres de l'équipe peuvent facilement partager toute information pouvant être utile pour mettre en œuvre les changements nécessaires à la conformité au RGPD, ainsi que gérer l'impact sur leurs équipes respectives.

Pour motiver le groupe de travail, Peter Beshar de Marsh & McLennan encourage les entreprises à mettre en place un ton de sensibilisation et d'urgence au niveau de la direction qui se répercute dans toute l'organisation et promeut l'importance de la conformité.

Personnalisez le règlement pour plus d'impact. Personne ne veut que ses informations privées soient compromises. Utilisez cet angle lorsque vous insistez sur l'importance de la conformité. En le rendant personnel, les membres de votre équipe comprendront mieux la valeur du travail nécessaire pour rendre l'organisation conforme.

Le RGPD est vaste. Toutes les parties prenantes doivent être formées aux exigences du RGPD, ce qui implique de développer des sessions de formation, de fournir des ressources d'information et de consulter régulièrement les employés, explique David Lat, rédacteur en chef fondateur d'Above the Law. Il est essentiel que les informations soient présentées de manière à ce que tout le monde puisse comprendre et assimiler les documents, de sorte que les visuels tels que les affiches et les vidéos peuvent être d'excellents outils pour expliquer les subtilités du RGPD.

2. Mettre en œuvre un outil SIEM

Le RGPD exige que les contrôleurs suivent et enregistrent toutes les activités de traitement sous leurs responsabilités, et la plupart des organisations utilisent un outil de gestion des informations et des événements de sécurité (SIEM) pour ce faire, note Javvad Malik, défenseur de la sécurité au sein de la société de sécurité de l'information AlienVault.

Un outil SIEM collecte des données à partir d'un réseau de systèmes matériels et logiciels et analyse les données en temps réel pour corréler les événements et repérer les anomalies ou les modèles de comportement pouvant indiquer une violation de la sécurité, explique l'écrivain technologique Paul Rubens dans un rapport pour eSecurity Planet. Les outils SIEM gèrent les journaux de sécurité sur divers appareils, repérant les menaces, empêchant et détectant les violations et fournissant des preuves médico-légales pour déterminer comment un événement de sécurité s'est produit et son impact potentiel, note Rubens.

Avant de mettre en œuvre un outil SIEM, assurez-vous de créer un inventaire de tous les actifs critiques qui ont accès aux informations personnelles des consommateurs, suggère Malik. Et n'oubliez pas d'inclure les appareils mobiles dans l'inventaire. Une enquête menée par la société de sécurité mobile Lookout, Inc. montre que 63 % des employés d'une entreprise accèdent aux données des clients, des partenaires et des employés depuis un appareil mobile.

Connaître ces informations garantit que tous les systèmes nécessaires sont inclus pour la collecte de données par un système SIEM.

3. Mener des évaluations des risques

Au sens très large, la réglementation RGPD impose aux entreprises de mettre en place des mesures de sécurité adaptées aux risques auxquels sont confrontés leurs systèmes. La réglementation ne définit pas le risque à dessein, laissant à l'organisation le soin de déterminer la meilleure façon d'aborder le risque et de se conformer au RGPD.

Une évaluation approfondie des risques comprend à la fois l'identification des risques et la création de plans d'atténuation pour lutter contre ces risques identifiés. Matt Middleton-Leal, directeur général EMEA de la société de cybersécurité et de conformité Netwrix, suggère quelques étapes aux entreprises dans leurs efforts pour effectuer des évaluations des risques :

  • Examinez les normes de conformité alternatives pour vous inspirer (par exemple, PCI, DSS).
  • Classez les données afin que tout le monde connaisse et comprenne tous les points de données et leur sensibilité.
  • Identifiez les risques spécifiques et pesez-les sur un rapport risque/bénéfice.
  • Évaluer en continu.

Il est préférable de consulter votre équipe juridique tout au long du processus de conformité au RGPD, mais cette étape en particulier est une étape où le juridique peut être un partenaire crucial. Le service juridique peut vous aider à orienter votre évaluation des risques, à vous aider dans la planification continue et à vérifier en permanence votre conformité.

4. Mettre en œuvre des contrôles de détection des menaces

Le RGPD oblige les entreprises à signaler les failles de sécurité dans les 72 heures. Afin de répondre à cette demande, les organisations doivent disposer des contrôles de détection des menaces appropriés pour déclencher des alertes immédiates en cas de violation. Les contrôles doivent être suffisants pour permettre une réponse dans cette petite fenêtre de temps.

Sara Pan de la société de sécurité des données Imperva suggère de poser des questions telles que :

  • « Qui accède aux données ? »
  • « L'accès est-il approprié pour l'utilisateur ? »
  • « Comment obtenir la réponse à l'incidence la plus rapide ? »

La détection des menaces n'est pas un processus à définir et à oublier. Cela nécessite une surveillance continue des menaces internes et externes, il est donc important que les entreprises mettent également en place des processus d'évaluation continue et disposent d'un plan de réponse aux incidents détaillé. Le plan d'intervention doit se concentrer sur l'enquête sur l'incident pour déterminer la source et le processus pour le contenir.

En testant régulièrement ces processus et plans, les entreprises sont mieux placées pour répondre aux menaces et aux attaques d'une manière conforme au RGPD.

C'est une chance de défendre la protection des données des consommateurs

Le RGPD prévoit d'imposer des sanctions pécuniaires aux entreprises non conformes à partir du 25 mai 2018. Il existe deux niveaux d'amendes dont les organisations doivent être conscientes, et sont expliqués plus en détail sur GDPREU.org.

  • Niveau inférieur : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial de l'exercice précédent, selon le montant le plus élevé.
  • Niveau supérieur : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'exercice précédent, selon le montant le plus élevé.

Bien que les amendes soient lourdes, les entreprises doivent se concentrer davantage sur la mise en œuvre des processus appropriés pour garantir la protection des données et la confidentialité, et non sur des raccourcis uniquement pour éviter les sanctions. En tentant de contourner les processus juste pour éviter des amendes, les organisations risquent la colère non seulement des organismes de réglementation, mais aussi des consommateurs qui les maintiennent en activité. Le RGPD n'a pas été adopté pour punir les entreprises, mais pour protéger les consommateurs.

Avec cet objectif à l'esprit, les organisations doivent être motivées à montrer aux consommateurs qu'elles se soucient de la protection des informations privées et sont prêtes à mettre en place des mesures de sécurité qui ont à cœur les meilleurs intérêts des consommateurs. Toute l'énergie et les ressources consacrées à la conformité seront payantes lorsque les consommateurs seront plus disposés à faire affaire avec les entreprises en qui ils ont confiance.

Mais il faudra des efforts dédiés de la part des entreprises. À l'approche de la date limite du 25 mai, les organisations doivent rechercher activement la conformité au RGPD.

Avis de non-responsabilité : cette publication ne constitue en aucun cas un avis juridique et ne devrait pas vous empêcher d'obtenir votre propre avis juridique d'un avocat qualifié. De plus, cet article n'est pas un document juridiquement contraignant et n'est pas destiné à être exécuté. Le contenu fourni dans cet article est sujet à changement et ne reflète pas dans son intégralité les exigences de la législation applicable. En fournissant cette publication, Scalefast ne garantit pas qu'il exécutera un document juridiquement contraignant et se réserve le droit de se retirer des discussions sans encourir aucune responsabilité à tout moment.

Images de : Comfreak, rawpixel.com, Free-Photos