Devoir de vigilance : pourquoi les entreprises doivent prendre la conformité au sérieux - Paul Visser, Consultant, Atos

Devoir de vigilance : pourquoi les entreprises doivent prendre la conformité au sérieux

Paul Visser, consultant business principal pour la gestion des risques liés aux informations, Atos International

À chaque attaque, quelle que soit son envergure, on constate les mêmes effets : les cybermenaces ont un effet dévastateur sur l'image de marque, le cours de l'action et la fidélisation des clients.  Les organisations, quelle que soit leur taille, peuvent être soumises à des amendes substantielles si elles ne contrôlent pas ces cybermenaces. Au Royaume-Uni, l'Information Commissioner's Office (ICO, bureau du commissaire aux informations) peut imposer des amendes allant jusqu'à 500 000 £ s'il a le sentiment que les données n'ont pas été conservées de manière sécurisée. Peu importe la taille de l'organisation, c'est le type d'informations perdues qui compte.

 

 

Chaque année, le 28 janvier est la journée de la confidentialité des données (Data Privacy Day), fêtée dans toute l'Europe, aux États-Unis et au Canada. L'objectif est de sensibiliser et d'informer les consommateurs sur l'utilisation de leurs données personnelles, tout en demandant aux entreprises de s'assurer que ces données sont conservées et protégées de manière appropriée. Giovanni Buttarelli, le nouveau contrôleur européen de la protection des données, a déclaré que « l'UE doit rendre les droits existants sur la protection des données plus effectifs dans la pratique, et permettre aux citoyens d'exercer plus facilement leurs droits à une époque où nous gérons toute notre vie à partir de nos smartphones. ».

Il est inquiétant de voir qu'un nombre record de violation de la confidentialité des données a eu lieu en 2014. Avons-nous vraiment tiré les enseignements de ces incidents ?  Une anecdote révélatrice sur les amendes importantes associées aux violations de la confidentialité des données est celle du Ministre de la Justice britannique, un département du gouvernement du Royaume-Uni responsable de la police, du système judiciaire, des prisons et de la liberté conditionnelle. L'organisation a connu de graves difficultés quand l'ICO lui a imposé une amende de 180 000 £ pour « manquement grave » dans la manipulation de données confidentielles après la perte d'un disque dur non crypté contenant des informations sur près de 3 000 détenus. Le Royaume-Uni n'est pas le seul à pouvoir infliger des amendes susbtantielles. La loi française relative à la protection des données stipule que pour les délits liés à la protection des données, les organisations peuvent recevoir une amende allant jusqu'à 150 000 € pour une première infraction. Pour les entreprises récidivistes, ce montant peut aller jusqu'à 300 000 €.

Le risque peut être supérieur à votre chiffre d'affaires
En fait, la pratique consistant à imposer des pénalités financières pour les violations de confidentialité des données est répandue dans toute l'Europe et le reste du monde : l'Autriche, l'Allemagne, l'Irlande, le Canada et l'Italie peuvent aussi imposer de fortes amendes. Les États-Unis font figure d'exception car ils n'ont pas de loi fédérale exhaustive sur les violations de la confidentialité des données, bien que les régulateurs fédéraux peuvent imposer des pénalités pour un manque de conformité des données, comme dans le cas de l'Université de l'État d'Idaho, qui a consenti à payer 400 000 $ après avoir manqué de sécuriser des données patients pendant plus de 10 mois.
 
Il existe de grandes variations autour de l'accréditation entre les marchés, les secteurs et les régions. Cela peut rendre le processus plus opaque. Bien sûr, il existe certains normes internationales, y compris la récente certification des règles internes d'entreprise (Binding Corporate Rules, BCR), une norme conçue pour permettre aux multinationales de transférer leurs données personnelles hors de l'UE tout en restant en conformité avec toutes les règlementations locales concernant la protection des données. Atos est la première société informatique à avoir obtenu cette certification, accordée par toutes les autorités de protection de données d'Europe.

Les dépenses conseillées sur la cybersécurité varient également d'un secteur à l'autre. Cependant, en règle générale, la plupart des directeurs informatiques se voient recommander de dépenser au moins 6,1 pour cent de leur budget informatique uniquement pour sécuriser leur domaine informatique.

Nous contacter

Atos
Plus d'infos
trans-1-px
Notre site internet utilise des cookies. En poursuivant votre visite sur notre site, vous acceptez que nous utilisions des cookies. Ces derniers nous permettent
de comprendre comment notre site internet est utilisé. Nous pouvons ainsi mieux le configurer. Si vous refusez que nous utilisions des cookies, vous pouvez
bloquer leur utilisation en configurant votre navigateur tel qu’expliqué dans notre Politique Vie Privée
J'accepte Plus d'informations