Des déclarations récentes suggèrent qu’il y a encore du travail à faire lorsqu’il s’agit d’intégrer le GDPR dans les processus d’une organisation. Toutes les entreprises partent du principe que les données et les informations qu’elles collectent doivent être utilisées de manière responsable. Dans les services financiers en particulier, les données sont considérées comme un actif essentiel. En cas de violation, des amendes importantes et une publicité négative peuvent en résulter. De plus, la confiance des consommateurs, si importante, peut rapidement disparaître, ce qui peut être encore plus préjudiciable à long terme.
De nombreuses personnes sont désormais conscientes que leurs données doivent être conservées en toute sécurité. La commissaire à l’information, Elizabeth Denham, a d’ailleurs publié un récent blog à ce sujet :
« L’une des tendances marquantes de l’ère numérique est la prise de conscience croissante des droits en matière de protection des données.
De
plus en plus de personnes prennent conscience des données personnelles qui sont au cœur de tant de services en ligne auxquels nous accédons, et réalisent leurs propres droits concernant ces données.
»
Dans son enquête annuelle, l’ICO a examiné les aspects de la protection des données qui suscitent le plus d’inquiétudes, la cybersécurité arrivant en tête, suivie de la vie privée des enfants et du partage des données. Mme Denham a souligné que, dans l’ensemble, il restait du travail à faire, de nombreuses entreprises n’étant pas encore totalement engagées dans les « aspects de responsabilité » du règlement général sur la protection des données. Plus tôt, en avril, elle avait déclaré que ces aspects devaient devenir « partie intégrante de la culture et du tissu d’une organisation », les professionnels des données devant disposer d’un large éventail de compétences pour éduquer et inspirer leurs collègues, y compris des capacités en matière de gestion des données :
- Analyse juridique et commerciale, capable de comprendre comment la protection des données s’inscrit dans la vision d’une organisation et où elle peut être impérative, positive et transformatrice.
- Coaching – travailler à la mise en place d’un réseau d’ambassadeurs au sein de l’entreprise qui comprennent ce qui doit être fait.
- Marketing – trouver des moyens créatifs pour que les gens lèvent les yeux de leur travail quotidien et réalisent qu’ils ont tous besoin d’y adhérer.
Le message à retenir est que les entreprises doivent employer les meilleurs talents et étayer leur expertise par des systèmes et des processus robustes. On peut affirmer que de nombreuses entreprises de services financiers ont bien intégré le GDPR dans leurs processus, mais une défaillance pourrait s’avérer dévastatrice. Comme l’explique Mme Denham :
« Notre travail de mise en application, qui consiste à infliger des amendes ou à lever le voile sur des traitements cachés, peut souvent diminuer la confiance à court terme, car les gens apprennent l’existence de mauvaises pratiques en matière de données dont ils n’étaient pas conscients auparavant. Cette théorie est étayée par l’enquête qui montre que la diminution de la confiance s’accompagne d’une sensibilisation accrue des personnes à leurs droits en matière de protection des données.
»
Heureusement pour les sociétés de services financiers – mais pas pour les entreprises concernées – d’autres sont actuellement dans le collimateur de l’ICO.
En juillet, British Airways a été condamnée à une amende de 183,39 millions de livres sterling en vertu du GDPR pour une violation de données personnelles survenue en août 2018. Quelque 500 000 clients de BA ont été compromis lors de la violation, qui a impliqué le détournement du trafic des utilisateurs de BA vers un faux site Web. Les données compromises comprenaient les noms, les adresses électroniques et les détails des cartes de paiement utilisées au cours du processus de réservation. La sanction s’élève à environ 1,5 % du chiffre d’affaires annuel mondial de BA en 2017. Il s’agit de l’amende la plus élevée infligée à ce jour par un État membre de l’Union européenne dans le cadre du GDPR.
Le régulateur de la protection des données de l’Union européenne. En juillet, le groupe hôtelier Marriott s’est vu infliger une amende de 99,2 millions de livres sterling pour une violation liée à son système de base de données de réservation Starwood – une chaîne qu’il avait rachetée – et qui a eu des répercussions sur environ sept millions d’enregistrements liés à des personnes du Royaume-Uni. L’ICO a souligné que, dans les deux cas, les amendes étaient inférieures aux seuils fixés par le GDPR, à savoir 4 % du chiffre d’affaires annuel ou 20 millions d’euros, parce que les entreprises avaient coopéré et agi pour améliorer la sécurité. Mais l’ICO montre aussi qu’il est un régulateur prêt à prendre des mesures coercitives. Une organisation géante qui n’en sera que trop consciente est Facebook, qui se prépare à lancer sa nouvelle crypto-monnaie, Libra. L’ICO s’est dit préoccupé par les pratiques de partage des données, compte tenu des problèmes antérieurs de Facebook, et a demandé des précisions sur la manière dont les informations financières seront conservées en toute sécurité. Qu’elles soient grandes ou petites, toutes les organisations doivent respecter leurs obligations en matière de sécurité des données – et compte tenu des récents antécédents de l’ICO, il n’y a pas de meilleur moment que le présent pour s’assurer que cette question est la plus prioritaire.