C'est pas mon idée !

jeudi 15 juin 2017

Le coûteux risque oublié du RGPD

Consult Hyperion
Alors que le « Règlement Général sur la Protection des Données » (RGPD) entrera en vigueur en Europe dans moins d'un an, les banques se focalisent sur certaines de ses dispositions et tendent à en négliger d'autres. Dans une étude mandatée par AllClear ID, le cabinet Consult Hyperion s'attarde ainsi sur un enjeu à plusieurs milliards d'euros.

Parmi les multiples domaines couverts par le texte qui se substituera à partir du 25 mai 2018 à la directive sur la protection des données personnelles, les institutions financières s'inquiètent particulièrement de celles qui limitent leurs droits sur les données de leurs clients (obligation d'obtenir le consentement à l'usage, droit à la portabilité, droit à l'oubli…). D'autre part, la menace de lourdes sanctions en cas de brèche de sécurité induit des efforts redoublés pour éviter les intrusions et autres risques de vol.

Malheureusement, comme le souligne les spécialistes de Consult Hyperion, les failles sont inévitables et jamais les précautions prises ne seront 100% efficaces, surtout dans un contexte d'ouverture vers l'extérieur (aussi pour des raisons réglementaires, par exemple avec la DSP2). En projetant, de manière plutôt conservative, une évaluation des incidents des 10 dernières années, ils estiment donc que le coût des amendes infligées collectivement pour des fuites de données s'élèverait à 4,7 milliards d'euros sur 3 ans.

Le législateur a en effet eu la main lourde sur ce volet, en prévoyant des pénalités qui peuvent atteindre soit 10 millions d'euros, soit 2% du chiffre d'affaires global (ces plafonds étant doublés en cas de récidive), le plus élevé étant retenu. Or, si la survenue de brèches et, par conséquent, le risque de sanction sont une certitude, il est tout de même possible de maîtriser le montant des amendes, qui reste, in fine, à la discrétion du régulateur et est apprécié en fonction des mesures mises en œuvre pour gérer les crises.

Rapport de Consult Hyperion

Mais, dans leur aveuglement face à l'inéluctabilité de l'événement, certaines banques « oublient » de définir les processus qui, justement, leur permettront de gérer les retombées avec efficacité et célérité. La première exigence est l'obligation de notifier les victimes dans les 72 heures, mais il faudra aussi savoir répondre aux sollicitations qui s'ensuivront, proposer des moyens d'assistance (à défaut de réparation)… Incidemment, au-delà de la réglementation, il s'agit également de défendre l'image de l'entreprise, dont la dégradation peut rapidement représenter des coûts considérables.

La recommandation de Consult Hyperion est de préparer d'urgence les capacités de gestion de crise, en portant l'attention en priorité sur 3 axes critiques : l'expertise nécessaire pour prendre en charge les conséquences d'une faille (notamment en matière de détournement d'identité), la mise en place d'une infrastructure de communication sécurisée pour notifier les victimes et les moyens d'absorber l'inévitable flux de questions, sur tous les médias (dont les réseaux sociaux), avec toute la dextérité requise.

Pour les auteurs de l'étude, les banques n'ont guère le choix : celles qui n'ont pas de plan sont presque irrémédiablement vouées à l'échec.

Aucun commentaire:

Publier un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)