Comment profiter de la réforme du RGPD

GDPR est l’un des acronymes les plus utilisés de l’année, dépassant même Beyoncé dans le volume de recherche de Google. Dans cette nouvelle réalité, la protection des données et la vie privée sont reines, réécrivant la réglementation sur la manière dont les entreprises travaillent ensemble et fournissent des services aux clients.

Dès l’entrée en vigueur de la loi du 25e En mai, il y avait déjà une forte augmentation des plaintes relatives à la protection des données déposées auprès des régulateurs à travers l’Europe. Bien que le GDPR ait ses défis, il marque une avancée positive pour la communauté des entreprises qui, pendant trop longtemps, s’est appuyée sur des ensembles de données massifs et souvent inexacts.

Avec la menace (désormais réelle) d’amendes pouvant atteindre 4 % du chiffre d’affaires mondial ou 20 millions d’euros, à quoi ressemble le RGPD dans la pratique et comment les entreprises peuvent-elles l’utiliser à leur avantage ?

Regarde le bon côté

Il est facile de se laisser entraîner par la rhétorique négative entourant le RGPD. La vérité est qu’il y aura toujours des gagnants et des perdants.

Les perdants seront les entreprises qui ne prennent pas la loi au sérieux et négligent de suivre les directives de cybersécurité des gouvernements et des organisations comme le Center for Internet Security. Les gagnants sont ceux qui utilisent la nouvelle législation comme une opportunité de mettre à niveau les fonctions clés de l’entreprise et de prendre l’avantage sur la concurrence.

Une étude récente a révélé que le RGPD représenterait « inutiles » jusqu’à 75% des données clients détenues par les entreprises britanniques. L’épuisement des bases de données à cette échelle peut sembler catastrophique, mais pendant des années, les spécialistes du marketing ont perdu du temps et de l’argent à communiquer avec des personnes qui n’ont jamais (et n’interagiront jamais) avec leur marque.

Une « data detox » s’impose, ne laissant que des leads de qualité et redéfinissant la gestion de la relation client. Ceci, à son tour, simplifiera la conformité aux demandes d’accès aux données et réduira les coûts d’infrastructure pour des éléments tels que l’archivage des données, les sauvegardes et la sécurité.

La conformité au RGPD peut également être un facteur d’attraction important pour les clients. Le public n’a jamais été aussi conscient de son droit à la vie privée. En montrant que vous prenez leur vie privée et leur sécurité au sérieux, vous pourrez instaurer la confiance à un moment où le public perd confiance.

Gestion des risques

Auparavant, la législation sur la protection des données se concentrait uniquement sur le responsable du traitement – ou l’entreprise « propriétaire » des données, et non sur les actions des tiers qui y ont accès.

Cependant, dans le cadre du RGPD, de nombreux responsables du traitement craignent d’être exposés à une responsabilité illimitée pour une violation subie par les responsables du traitement au motif qu’ils n’ont pas fait preuve de diligence raisonnable.

Pour vous protéger contre les dommages-intérêts et réduire les risques, cartographiez où se trouvent les données dont vous êtes responsable tout au long de la chaîne d’approvisionnement et ce que vos fournisseurs/partenaires font avec ces données.

Pour les anciens et les nouveaux contrats, assurez-vous de prendre un niveau de diligence approprié au risque que le fournisseur présente pour vous. Les responsables du traitement doivent s’engager à vous signaler une violation et à vous fournir le soutien nécessaire pour répondre efficacement à cette situation.

Nous recommandons également une assurance cybersécurité qui comprend une couverture exclusive et tierce pour se protéger contre les dommages causés par les violations d’origine interne ou tout au long de la chaîne d’approvisionnement.

Choc des cultures

Selon l’ICO, quatre des cinq principales causes d’incidents de sécurité des données sont dues à des erreurs humaines et à des erreurs de processus. Ne vous méprenez pas, le RGPD ne concerne pas votre équipe informatique ou de conformité ; Le moment est venu d’introduire la protection des données dès la conception dans toute l’entreprise.

L’introduction de nouvelles données d’entreprise et de pratiques de contrôle de la sécurité peut être difficile. Si le personnel estime que les changements sont trop radicaux et que la haute direction ne les soutient pas activement, le danger est qu’ils évitent activement de s’y adapter.

Il y a aussi le problème de suivre l’évolution du paysage des cybermenaces. D’une part, les attaques deviennent plus intelligentes et d’autre part, les techniques de la vieille école comme le phishing par e-mail continuent de profiter de la nature confiante des gens.

Il est recommandé de tester dans quelle mesure vos employés peuvent appliquer leurs connaissances en cybersécurité. Pourquoi ne pas essayer certaines tactiques en interne, comme envoyer de faux e-mails de spear phishing au réseau de l’entreprise pour voir qui clique sur les liens ou les pièces jointes et qui le signale à la bonne personne ?

Des séminaires de formation réguliers par des experts sont indispensables ; essayez les cours IAPP qui peuvent être suivis en ligne ou en personne. Il est également important que tous les employés, ceux qui travaillent sur place et à distance, soient au courant de tous les protocoles à jour pour maintenir des défenses solides et promouvoir la responsabilité.

Le RGPD n’est en aucun cas une bureaucratie de plus. Il représente une véritable opportunité pour les entreprises, grandes et petites, de pérenniser leurs processus, de monétiser les données efficacement (mais équitablement) et de fidéliser les fournisseurs, partenaires et clients.


Par Mark Overton, responsable de la sécurité de l’information, Chat tendre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *