L'ICO fait monter la pression pour protéger les données personnelles

Des déclarations récentes suggèrent qu'il y a encore du travail à faire lorsqu'il s'agit d'intégrer le GDPR dans les processus d'une organisation.

Toutes les entreprises partent du principe que les données et les informations qu'elles collectent doivent être utilisées de manière responsable. Dans les services financiers en particulier, les données sont considérées comme un actif essentiel.

En cas de violation, de lourdes amendes et une publicité négative peuvent en résulter. De plus, la confiance des consommateurs, si importante, peut rapidement disparaître, ce qui peut être encore plus dommageable à long terme.

De nombreuses personnes sont désormais bien conscientes que leurs données doivent être conservées en toute sécurité. Dans un récent blog, la commissaire à l'information, Elizabeth Denham, a publié ce qui suit :

"L'une des tendances marquantes de l'ère numérique est la prise de conscience croissante des droits en matière de protection des données. De plus en plus de personnes prennent conscience des données personnelles qui se trouvent au centre de tant de services en ligne auxquels nous avons accès, et réalisent leurs propres droits en ce qui concerne ces données."

Dans son enquête annuelle, l'ICO a examiné les aspects de la protection des données qui suscitent le plus d'inquiétude, la cybersécurité arrivant en tête, suivie par la vie privée des enfants et le partage des données.

Mme Denham a souligné que, dans l'ensemble, il restait du travail à faire, de nombreuses entreprises n'étant pas encore totalement engagées dans les "aspects de responsabilité" du règlement général sur la protection des données. Auparavant, en avril, elle avait déclaré que ces aspects devraient faire "partie de la culture et du tissu d'une organisation", les professionnels des données devant posséder un large éventail de compétences pour éduquer et inspirer leurs collègues, y compris des compétences dans ce domaine :

• Analytique juridique et commerciale, capable de comprendre comment la protection des données s'inscrit dans la vision d'une organisation et où elle peut être impérative, positive et transformatrice.
•  Coaching - travailler pour construire un réseau d'ambassadeurs au sein de l'entreprise qui comprennent ce qu'il faut faire.
•  Marketing - trouver des moyens créatifs d'amener les gens à lever le nez de leur travail quotidien et à réaliser qu'ils doivent tous adhérer au projet.

Le message à retenir est que les entreprises doivent employer les meilleurs talents et étayer leur expertise par des systèmes et des processus solides. On peut soutenir que de nombreuses entreprises de services financiers ont bien intégré le GDPR dans leurs processus, mais un manquement pourrait s'avérer dévastateur. Comme l'explique Mme Denham :

"Notre travail d'application de la loi, qui consiste à infliger des amendes ou à lever le voile sur des traitements cachés, peut souvent diminuer la confiance à court terme, car les gens apprennent l'existence de mauvaises pratiques en matière de données, dont ils n'étaient pas conscients auparavant. Cette théorie est confirmée par l'enquête qui montre que la diminution de la confiance s'accompagne d'une augmentation de la sensibilisation des personnes à leurs droits en matière de protection des données."

Heureusement pour les entreprises de services financiers - mais pas pour les entreprises concernées - d'autres sont actuellement dans le collimateur de l'ICO. En juillet, British Airways a été condamnée à une amende de 183,39 millions de livres sterling en vertu du GDPR pour une violation de données personnelles survenue en août 2018. Quelque 500 000 clients de BA ont été compromis lors de la violation, qui a consisté à détourner le trafic des utilisateurs de celui de BA vers un faux site web. Les données compromises comprenaient les noms, les adresses électroniques et les détails de la carte de paiement utilisés pendant le processus de réservation. L'amende s'élève à quelque 1,5% du chiffre d'affaires annuel mondial de BA en 2017, soit l'amende GDPR la plus élevée infligée à ce jour par un organisme européen.
Régulateur européen de la protection des données. En juillet, le groupe hôtelier Marriott s'est vu infliger une amende de 99,2 millions de livres sterling pour une violation liée à son système de base de données de réservation Starwood - une chaîne qu'il avait rachetée - qui a eu des répercussions sur environ sept millions d'enregistrements concernant des personnes du Royaume-Uni.

L'ICO a souligné que, dans les deux cas, les amendes étaient inférieures aux seuils fixés par le GDPR, à savoir 4% du chiffre d'affaires annuel ou 20 millions d'euros, car les entreprises avaient coopéré et pris des mesures pour améliorer la sécurité. Mais l'ICO montre également ses couleurs en tant que régulateur prêt à prendre des mesures coercitives. Une organisation géante qui ne le sait que trop bien est Facebook, qui est en train de préparer le lancement de sa nouvelle crypto-monnaie, Libra. L'ICO a fait part de ses préoccupations quant aux pratiques de partage des données, compte tenu des problèmes antérieurs de Facebook, et a demandé des précisions sur la manière dont les informations financières seront conservées en toute sécurité.

Qu'elles soient grandes ou petites, toutes les organisations doivent respecter leurs obligations en matière de sécurité des données - et compte tenu des récents résultats obtenus par l'ICO, il n'y a pas de meilleur moment pour s'assurer que cette question est la plus prioritaire.