RGPD – 2 ans après, un bilan mitigé

0

Comme tout le reste, le respect du RGPD est mis à rude épreuve en ce moment. Il ne fait aucun doute qu’il y aura des manques au RGPD en sortant de la crise du COVID-19. La bascule instantanée qu’ont dû faire de nombreuses sociétés pour adopter de nouvelles méthodes de collaboration en ligne, en ayant quasiment tous leurs salariés contraints au télétravail, signifie que la sécurité et le respect de la vie privée ont dû s’adapter rapidement à des changements très importants.

Alors que nous fêtons le deuxième anniversaire de l’entrée en vigueur du RGPD, l’une de mes principales inquiétudes est que, d’une façon ou d’une autre, l’objectif éducatif de cette régulation s’est perdu. Nous avons, semble-t-il, raté l’opportunité d’aider les entreprises à apprendre de leurs erreurs. Or pour moi, c’était l’un des aspects positifs du RGPD. Celui-ci a été conçu comme une feuille de route pour améliorer en continu la sécurité et le respect de la vie privée des entreprises. Toutefois, je ne crois pas qu’il y ait eu un effort international pour recenser les erreurs les plus courantes commises par les sociétés, quelle que soit leur taille, en appliquant le RGPD et pour les éviter. Pourtant celles-ci apprécieraient d’avoir de telles informations, en particulier dans la crise actuelle. 

La loi doit être écrite pour être neutre technologiquement, car la législation et les avancées techniques évoluent à des rythmes très différents. J’ai pris conscience de ce fait il y a bien des années au moment de la convention de Budapest, qui sert de base pour de nombreuses lois nationales sur la cybercriminalité. Celles-ci étaient écrites en tenant compte de l’impact plus que de la technologie elle-même. Toutefois, même un RGPD basé sur des principes n’aurait pu prédire la vitesse à laquelle la technologie change, tout comme le volume de données que nous échangeons ou bien encore la manière dont nous les partageons. 

Deux ans sont une éternité en terme technologique ; il faut certainement réévaluer la façon dont les principes du RGPD s’appliquent aux nouvelles technologies et à l’évolution des flux de données. De plus, son interprétation et son implémentation ne sont pas les mêmes d’un pays de l’UE à l’autre. Il est important de s’assurer que l’application du RGPD reste claire malgré les différents changements technologiques. Ainsi, depuis que le RGPD est entré en application, de nombreuses sociétés ont migré dans le cloud, dont l’usage s’est fortement généralisé avec de forts taux d’adoption. Il faut que ces entreprises réfléchissent à la façon dont le RGPD s’y applique alors que les données circulent dans le cloud de façon nettement plus importante que prévu. Ceci pour documenter les risques spécifiques qui s’y posent, et pour définir une feuille de route pour un respect continu de la vie privée et une amélioration de la sécurité. 

Ce qui me frappe c’est le fait qu’il y a toujours aussi peu de sociétés sachant réellement où se trouvent leurs données dans le cloud, qui y accèdent, ou bien encore quelle est leur responsabilité en matière de sécurité. Pour beaucoup, le COVID-19 a accéléré cette migration, testant l’efficacité des équipes informatiques en matière de sécurité en raison du changement rapide des besoins et d’une force de travail plus dispersée. 

Toutes les réglementations, y compris le RGPD, doivent s’appliquer ici mais aussi aux prochaines évolutions technologiques, comme la future interconnexion promise avec les réseaux 5G et la prolifération des appareils connectés en tout genre.

Nous commençons seulement à comprendre cette nouvelle normalité du travail, mais même sans la situation actuelle compliquée, nous devrions prendre le temps de réfléchir à la façon dont les entreprises doivent faire évoluer leur conformité au RGPD dans l’optique d’une amélioration continue de la sécurité et du respect de la vie privée pour mieux protéger nos sociétés et nos économies en ligne.

About Author

Greg Day

Greg Day est VP et CSO EMEA chez Palo Alto Networks. Il est responsable et supervise les opérations de Palo Alto Networks sur la zone EMEA et est en charge du développement des renseignements sur les menaces et sur les meilleures pratiques en matière de sécurité. Fort de 25 années d'expérience dans le domaine de la sécurité numérique, Greg a aidé des organisations, grandes et petites, du secteur public et privé, à mieux appréhender, prévenir le risque et à mettre en place des stratégies pour le gérer. Il est reconnu pour sa vision, son leadership et comme un chef de file de l'industrie, un expert capable de traduire les défis technologiques en solutions exploitables. Greg a débuté sa carrière chez Dr Solomon, plus tard McAfee (maintenant Intel Security) en tant qu'analyste support technique. Au cours de sa carrière de 20 ans, il a occupé plusieurs postes: consultant en sécurité informatique, responsable des meilleures pratiques mondiales, analyste de sécurité et directeur de la stratégie de sécurité. Pendant ce temps, il a conduit différentes initiatives pour soutenir les clients, les partenaires et les équipes de vente, a rédigé plusieurs articles sur des sujets de sécurité et a fourni des conseils aux gouvernements. Chez Symantec, il a occupé le poste de directeur de la sécurité pour la région EMEA, gérant une équipe d'experts en sécurité et pilotant la stratégie régionale de cybersécurité de Symantec. Plus récemment, en tant que VP et CTO EMEA chez FireEye, il était responsable de la stratégie technologique. Greg siège actuellement au comité directeur de la National Crime Agency du Royaume-Uni, mais également au comité conseil du UK-CERT / CISP et à la communauté de recherche VFORUM, occupant même auparavant le poste de vice-président du groupe de cybersécurité techUK. Il a fait partie de la Convention du Conseil de l'Europe sur la cybercriminalité et a participé à un certain nombre de groupes industriels et consultatifs. Il est largement reconnu comme un leader de l'industrie et est un visage familier à de nombreux événements de cybersécurité, en tant que conférencier régulier et a également été un porte-parole actif auprès des médias dans une grande partie de la région EMEA. Greg est titulaire d'un BSc (Hons) en Business Information Systems de l'Université de Portsmouth.

Leave A Reply