Des demandes d’exercice des droits ? Oui très certainement !
L’attention médiatique va motiver les individus à exercer leurs droits, en particulier pour récupérer leurs données. Ce mouvement, entamé chez certains de nos clients , est en augmentation de plus de 50 %. Un conseil : vérifiez que le processus fonctionne, au moins la partie qui permettra d’accuser bonne réception des demandes.
Des contrôles ou des condamnations ? Pas immédiatement !
Des notifications de violations de données ? Oui, c’est le plus probable !
La notification de violation de données – article 33 – est un point majeur du règlement qui est cependant souvent oublié. Dès le 26 mai, toute organisation qui subira une fuite de données à caractère personnel, par inadvertance (perte d’un PC, d’une clef USB, etc.) ou du fait d’une malveillance a l’obligation d’enregistrer l’incident, d’évaluer le risque pris au regard de la vie privée des personnes touchées et de prévenir le régulateur et ultérieurement les personnes concernées. A ce titre, la CNIL va incessamment mettre en place un téléservice pour faciliter et accélérer les déclarations. De toutes les mesures du RGPD, c’est certainement celle qui fera rapidement le plus parler d’elle !
Des difficultés d’anticipation des problèmes ? Oui
Des lacunes importantes subsistent dans la détection des fuites. Pour gérer la problématique de la violation de données, il convient de disposer d’une capacité de détection de l’incident, d’investigation technique et de traitement interne.
Si plus de 70 % des entreprises de notre panel disposent d’une capacité d’investigation, celle-ci reste cependant sommaire. Suffisante toutefois pour traiter les cas simples (perte de PC ou de clé USB), mais elle fera peut-être défaut en cas de fuites plus complexes, une cyberattaque par exemple… Autre indication : 30 % des entreprises ont prévu des canaux spécifiques (un call center ad hoc par exemple) pour éviter l’engorgement des canaux traditionnels. Mais actuellement près de 85 % des entreprises ne sont pas en mesure de surveiller plus de 50 % des systèmes d’information contenant des données à caractère personnel. Pour remédier à cela, le chantier est long et complexe à mettre en oeuvre, même pour ceux qui l’ont démarré tôt.
Les cas de violations les plus graves ouvrent une phase éminemment critique, au vu les impacts potentiels, aussi bien juridiques que réputationnels. Aujourd’hui, seulement 50 % des entreprises estiment être en mesure d’identifier les clients concernés par une fuite de données et de disposer des informations nécessaires pour le leur notifier (numéro de téléphone, email…). A peine 45 % d’entre elles sont outillées pour contacter les personnes concernées par une fuite de données alors que prévenir potentiellement plusieurs centaines de milliers, voire millions, de personnes en quelques jours ne s’improvisera pas.
Des clients mécontents ? Possible…
Quoi de pire pour un client, d’apprendre dans les médias la fuite de ses données personnelles… D’autant que les personnes concernées voudront rapidement en savoir plus. Des statistiques provenant des Etats-Unis – étude AllClearID – indiquaient que 20 % des clients recontactent l’organisation à l’origine de la fuite pour une durée comprise entre 5 et 20 minutes. Les canaux de vente et de relation client traditionnels sont vite saturés. Il faut donc prévoir des solutions alternatives (des call-center spécifiques ou des personnes dédiées dans les points de vente pour gérer ce flux). Aujourd’hui, seul 30 % des entreprises disposent de canaux ad hoc à utiliser pour interagir avec les individus concernés en cas de crise.
Une fois l’incident détecté, il s’agit ensuite d’en qualifier la gravité et de la notifier aux autorités. Près de 75 % des entreprises ont identifié le salarié qui réalisera ce travail et [[377596]] . Celui-ci devra s’appuyer sur les équipes internes, à la fois juridique et technique pour bien apprécier les différents critères de notification.
Des marges de progrès rapide ? C’est tout à fait envisageable
En organisant des exercice de gestion de crise ! C’est là la meilleure façon d’avancer et le moyen le plus simple et le plus efficace d’évaluer sa préparation. Réunissez l’équipe du DPO (Digital Protection Officer), la DSI (direction des systèmes d’information), le département juridique, la communication ainsi que la direction générale et déroulez un scénario fictif mais vraisemblable de violation de données. Qui fait quoi ? Comment être certains de savoir quelles données ont fuité ? Qui contacte qui ? Quels messages adresser aux clients ? L’exercice qui prévoit autant de questions est souvent plus efficace que de longues semaines en groupes de travail théorique. Cependant, d’après l’étude, 80 % des entreprises n’ont jamais conduit d’exercice de crise simulant la perte de données à caractère personnel et testant l’activation des moyens de communication. C’est certainement la prochaine action à planifier dans la dernière ligne droite avant le 25 mai !
Gérôme Billois est partner cybersécurité chez Wavestone. Sur Twitter : @gbillois.