Alors qu’un nouveau projet de loi sur la protection des données vient de voir le jour au Royaume-Uni, l’heure est à un premier bilan des bénéfices du RGPD. Quatre ans après l'entrée en vigueur du règlement européen sur la confidentialité et la protection des données (RGPD), il s'avère, avec le recul, que ce règlement tant attendu est peut-être arrivé au bon moment. Cette affirmation peut sembler étrange compte tenu du temps qu'a duré la période de consultation. En mai 2018, le RGPD est enfin devenu exécutoire dans l'intention de protéger la vie privée numérique. Mais qui aurait pu prédire qu'une pandémie mondiale allait engendrer l’explosion de la croissance des données et l'accélération des activités basées sur le cloud ?
Le travail à distance et hybride a forcé les organisations à expérimenter et à adopter de nouvelles technologies. Le RPGD a jeté les bases de ce changement fondamental en introduisant un cadre cohérent, reconnu presque mondialement, qui a considérablement fait évoluer la discussion autour de la vie privée et de la protection des données. Non seulement il a permis de prendre conscience de l'utilisation et du cycle de vie des données, mais il a surtout contribué à renforcer la confiance entre les différents acteurs de l'économie numérique. Dans l’ensemble, le RGPD a réussi son premier grand pari, les entreprises ayant constaté qu'elles pouvaient se mettre d'accord sur la manière de partager les responsabilités et de transférer workloads et activités commerciales dans le cloud.
Mais qu'est-ce que cela signifie pour les entreprises qui doivent travailler dans le cadre des réglementations et des directives pour protéger la vie privée de leurs clients ?
Le RGPD, un facteur de différenciation positif
Le RGPD a relevé les normes mondiales de protection des données. Il a également contribué à définir les attentes. Les clients sont reconnaissants envers les entreprises qui protègent leurs données. En parallèle, nous constatons un regain d'intérêt pour les technologies et les solutions qui permettent de reprendre le contrôle des données.
Grâce au RGPD, nous disposons désormais d'une vue d'ensemble en Union Européenne, montrant combien de violations de données ont eu lieu. Selon le rapport d’activité 2021 de la CNIL publié en mai 2022, l’organisme de contrôle a reçu 14 413 plaintes et procédé à 384 contrôles l’année passée. 135 mises en demeure et 18 sanctions ont été réalisées, pour un montant d’amendes jamais vu, atteignant les 214 millions d’euros.
Grâce à ces rapports, nous avons enfin une visibilité et une conscience de l'ampleur du problème auquel nous sommes confrontés et pouvons mesurer l'efficacité de la réponse. Cette escalade des sanctions est le signe d'une prise de conscience de la responsabilité de signaler les violations, et d'un renforcement de l'application de la loi. Bien que certains puissent dire que ces amendes ont été quelque peu incohérentes et se sont concentrées sur des cas très médiatisés pour servir d'exemples.
L'escalade des ransomwares
Les ransomwares et les dommages qu’ils engendrent sont l’un des facteurs expliquant aussi cette augmentation des cas de violations de données et d’encadrement par le RGPD. D’après une étude publiée par Sophos[1], 66 % des entreprises interrogées ont été victimes d’un ransomware en 2021, contre 37 % en 2020. En outre, 46 % auraient réglé la rançon dans l’idée de pouvoir récupérer leurs données, malgré les recommandations prévues par la Commission Européenne et la CNIL en France à ce sujet. Toutefois, les entreprises étant de plus en plus conscientes des attaques par ransomware (et préparées à y faire face), elles ont également pris conscience des risques liés à la dissimulation d'une violation de données. Aujourd'hui, la transparence est bien plus grande. Mais les criminels eux-aussi l'ont compris et adaptent leurs méthodes, choisissant souvent de semer des Leakware, un type de ransomware qui fait fuir les données au lieu de les supprimer. La simple menace d'exposer une fuite de données est désormais suffisante pour que certains envisagent de payer.
Rôles et fonctions en matière de sécurité et de confidentialité
Il est ainsi essentiel de comprendre ce que cela implique et de recruter les bons talents. Les rôles des responsables de la sécurité, de la protection de la vie privée et des données sont devenus plus importants car ils gèrent un risque croissant. Mais si leur position au sein du conseil d'administration a pu être renforcée au cours des cinq dernières années, il en va de même pour les conséquences en cas d’erreur.
Aussi, le RGPD est-il allé assez loin ?
La réponse à cette question dépend de la position de l’entreprise sur le marché. Il a certainement déclenché d'énormes investissements dans le monde entier qui ont poussé les entreprises à examiner de près leurs chaînes d'approvisionnement et leurs partenaires SaaS.
Cependant, d'autres pensent que le RGPD est allé trop loin. Toute complexification des obligations de conformité et de réglementation accroît les coûts de développement des entreprises numériques. Selon une étude récente, cela s'est traduit par le déclin du nombre d'applications disponibles dans les boutiques d'applications comme celles de Google et Apple en raison de la non-conformité. Cette gestion naturelle des services peut également créer des barrières supplémentaires à la mise sur le marché de nouveaux services. Il s'agit ici de trouver l’équilibre entre la protection des données et l'étouffement de l'innovation, bien que le facteur le plus important doit toujours être le renforcement de la confiance dans l’économie et les relations numériques.
Transferts de données transfrontaliers : le plus grand échec du RGPD ?
Cependant, malgré tous les bénéfices qu’offre le RGPD, il reste encore des problèmes à résoudre. Notamment en ce qui concerne la simplification et la clarification des responsabilités en matière de transferts transfrontaliers de données.
Actuellement, dans le cas de transferts de données transfrontaliers, les entreprises qui essaient d'utiliser différents fournisseurs technologiques rencontrent un certain nombre de difficultés. Elles sont de plus en plus désorientées par l'ambiguïté, le chevauchement et la fragmentation des diverses lois et exigences en la matière. Seule une solution politique internationale pourrait aider à mettre un terme à cet imbroglio.
Quelles sont les prochaines étapes pour les entreprises ?
Nous devons rester attentifs aux futures réformes sur la protection des données et où elles nous conduiront. Le RGPD a introduit beaucoup de concepts et de mécanismes extrêmement utiles, et a surtout permis de développer un langage commun pour discuter des questions de confidentialité et de protection des données entre les pays de l’Union et plus largement à l’international. Mais, comme pour toute législation impliquant de multiples parties prenantes, certains choix et priorités ont dû être faits. Il est temps désormais de trouver le meilleur équilibre possible entre toutes ces composantes.
[1] Etat des Ransomwares 2022, Mai 2022, Sophos