Ceci est le 2e billet de blog sur le RGPD, axé sur le RGPD et l'entreprise. Le lien vers notre premier billet, le point de vue personnel, est disponible ici.
Depuis le 25 mai 2018, vous devez vous conformer au RGPD si vous traitez des données personnelles de citoyens européens, comme suit :
- Soyez transparent sur la manière d'utiliser les données personnelles et utilisez-les seulement si vous disposez du consentement des consommateurs,
- Garantissez la sécurité des données lors du traitement des données personnelles,
- Notifiez les violations dans les 72 heures suivant la constatation de ces incidents,
- Corrigez, supprimez et donnez accès aux données personnelles à la demande des utilisateurs.
Une caractéristique essentielle du RGPD est qu'elle s'applique partout (là où les données d'un citoyen de l'UE sont traitées), et pas seulement en Europe, ce qui le différencie d'autres réglementations par pays. Le Brésil suit son exemple et adopte un format identique avec le LGPD.
Le non respect du RGPD peut entraîner une pénalité atteignant un maximum de 4 % du chiffre d'affaires mondial ou 20 millions d'euros, le montant le plus élevé étant retenu. Dans les 12 premiers mois du RGPD, 210 088 nouveaux cas ont été saisis auprès des autorités compétentes. D'après le Comité européen à la protection des données, 144 376 de ces cas étaient relatifs à des plaintes, et 89 271 étaient liés à des notifications de violations de données par des contrôleurs de données. Personne n'est à l'abri, même Google a été mise sur la liste des entreprises sanctionnées. British Airways et Marriott sont deux autres organisations à forte notoriété qui ont été condamnées. Les sommes récoltées dans le cadre d'amendes RGPD sont collectées par les gouvernements respectifs des états membres.
Même si l'ombre de ces sanctions plane, le RGPD ne doit pas être vu comme une menace, car il est pertinent dans un monde où les données personnelles sont difficiles à contrôler. Voici quelques conseils pour garder le cap :
- Cartographier les données : documents sources des données client et emplacements de stockage
- Nettoyer : assurez-vous de ne garder que ce qui est pertinent dans le cadre de l'entreprise, en fonction des règles RGPD
- Vérifier : contrôlez la conformité au RGPD de votre politique de confidentialité et de votre manière d'utiliser les données
- Organiser des procédures : assurez-vous de savoir comment traiter les demandes de suppression, modification ou d'accès aux données personnelles
- Ajouter des mesures de sécurité : mettez en œuvre des outils et des infrastructures qui peuvent bloquer les violations de données
Tout employé peut mettre en danger les données
En réalité, la sécurité des données stockées au sein de votre entreprise ne dépend pas que de leur traitement par votre service informatique. Quelquefois, il suffit d'un employé peu sensibilisé aux problématiques de sécurité pour compromettre toute l'entreprise. Par exemple, si une personne utilise le même mot de passe pour son e-mail personnel et pour ses applications professionnelles, dans le cas du piratage de son compte e-mail personnel, l'entreprise est exposée à des risques sans même s'en rendre compte (dans la plupart des cas). D'après Verizon, la mauvaise hygiène des identifiants est responsable de 81 % des fuites de données.
Bien sûr, les individus n'utilisent pas des mots de passe faibles pour nuire à la sécurité des données. Ils le font parce qu'il est difficile de mémoriser de nombreux identifiants complexes, et qu'il est plus simple de réutiliser ce qui est facile à mémoriser. Ce type de comportement n'est pas idéal, car si le mot de passe est compromis, alors tous les comptes associés peuvent être piratés.
La mise à disposition des employés d'outils adéquats peut avoir un impact concret. L'implémentation de l'authentification unique et de la gestion des mots de passe entreprise (EPM) peuvent transformer la manière dont votre entreprise utilise et perçoit les mots de passe. L'authentification unique élimine le besoin d'utiliser de multiples mots de passe sur différentes applications et pour tout le reste, il y la gestion des mots de passe entreprise.
Les petites entreprises sont-elles vraiment ciblées ?
On s'imagine que les petites entreprises ne sont pas ciblées. Or, c'est complètement faux, elles constituent une cible tout comme les grands groupes. Une cybersécurité globale performante ne va pas forcément de pair avec de nombreux coûts supplémentaires pour l'entreprise, car il existe des solutions pour ce types d'entreprises et de budgets. La mise en œuvre de mesures de base correctes (c'est-à-dire les détails ennuyants) est identique dans toutes les entreprises quels que soient leur taille ou leur secteur d'activité, c'est la façon de faire qui varie. La sécurité de l’identité et des points d'accès associés des employés qui sont utiles à l'entreprise contribuent largement à la mise en œuvre de ces mesures.
Voici quelques éléments qui peuvent être répertoriés comme essentiels sur la liste des mesures de base :
- Contrôlez les identifiants
- Limitez le nombre de mots de passe dans votre entreprise
- Utilisez l'AMF, surtout si vos employés sont souvent en situation de mobilité.
En fonction des solutions utilisées, l'impact sur l'entreprise et la réduction des risques peuvent être mesurés et analysés par les intervenants les plus importants, ce qui prouve la pertinence de l'investissement.
Essayez LastPass Identity sans frais dès aujourd'hui et rayez les 3 mesures de base mentionnées ci-dessus de votre liste de tâches à accomplir !
