Le 25 mai 2018, le Règlement général sur la protection des données entrait en vigueur en Europe, avec pour objectif de responsabiliser les entreprises et organisations qui recueillent des données personnelles. Il est aujourd’hui temps de faire le bilan sur cette première année, et de voir ce que le RGPD a changé pour la sécurité informatique.
Un bilan positif selon la CNIL
Dans son bilan paru en mai 2019, la CNIL fait preuve d’un bel optimisme. Elle note «une prise de conscience inédite », qui a « créé une dynamique remarquable pour les particuliers et les professionnels ». Tous les indicateurs sont en hausse ; plus de 11900 plaintes ont été déposées par des particuliers en France, soit une augmentation de 30 %, et le site de la CNIL a enregistré plus de 8 millions de visites en une année. Désormais, 70 % des Français se disent plus sensibles aux problématiques de protection des données.
Le niveau de sécurité des entreprises progresse peu
Le Global Data Risk Report, publié par Varonis en mai 2019, dresse toutefois un tableau assez inquiétant de la situation dans les entreprises. Elles sont encore trop nombreuses à laisser leurs données sensibles en accès libre. Le rapport estime qu’en moyenne, 22 % des fichiers d’une entreprise sont accessibles à l’ensemble des employés. Il pointe également du doigt le problème des mots de passe qui n’expirent pas, et qui laissent le temps à des individus malveillants de les pirater. Enfin, il remarque une différence entre les secteurs, les plus mauvais élèves étant les entreprises de services financiers, et les secteurs de la santé, du pharmaceutique et de la biotechnologie.
L’importance de la sécurité
Les experts notent l’importance de la sécurité informatique pour les entreprises. Le piratage reste la première source de violation des données, et notamment les logiciels malveillants et le phishing. Avec le RGPD, une faille de sécurité non corrigée peut avoir de lourdes conséquences. Les entreprises disposent de 72 heures pour notifier une cyberattaque ou une faille entraînant une violation des données pour en notifier la CNIL. Au-delà, elles encourent une amende d’un montant maximal de 10 millions d’euros ou de 2 % du chiffre d’affaires.
Même si les sanctions prononcées par les autorités européennes ont surtout visé les géants du web, comme Google, Amazon, Facebook et Apple, les PME ne sont pas à l’abri. Elles ont même souvent plus de mal à s’adapter au RGPD. Il est aujourd’hui essentiel qu’elles mettent l’accent sur la sécurité : la période de transition et de tolérance est terminée, et la CNIL va désormais appliquer le RGPD plus fermement.
Si vous souhaitez en savoir plus sur le RGPD, n’hésitez pas à nous contacter.