RGPD : les entreprises doivent s'y mettre sérieusement

Date de publication : 22/11/2017  |  David Kapp

 Automobile Italia via Flickr (copyright Creative Commons)
Automobile Italia via Flickr (copyright Creative Commons)

Le 25 mai 2018, le Règlement européen pour la protection des données (RGPD) entre en vigueur. À cette date, les entreprises devront être en conformité ou bien risqueront de fortes amendes.
Une "formalité" loin d'être évidente.

Le 21 novembre 2017, l'entreprise Uber a annoncé avoir été piratée. Le cloud, espace de stockage virtuel, qui hébergeait les données clients de près de 57 millions utilisateurs, aurait été ciblé.

Après les nombreux piratages de Yahoo, d'Equifax ou encore de Target, cette énième annonce ne surprend plus.
Sauf que le hacking remonte à plus d'un an !

Dara Khosrowshahi, le nouveau patron de l'entreprise de VTC, a annoncé avoir été informé récemment de l'attaque. Le groupe aurait payé une rançon de 100 000 $ aux deux hackeurs.

Selon le New York Times (article en anglais), l'accord avec les attaquants aurait été conduit par le responsable de la sécurité sous l'autorité de Travis Kalanick, ancien PDG d'Uber, forcé au départ en juin suite à la révélation d'agressions à caractère sexuel.

Cette annonce, bien après les faits, n'est pas une nouveauté non plus pour les entreprises High-Tech.

Leur business reposant sur la confiance, on comprend qu'elles soient peu enclines à montrer leurs faiblesses.

On se souvient que Yahoo avait tardé à reconnaître un piratage perpétré en 2013. Et ce n'est que très récemment, début octobre 2017, après le rachat par Vérizon, que Yahoo a reconnu l'ampleur du vol de données : au total, c'est 3 milliards de comptes qui auraient été affectés !

Des scandales en série qui seront préjudiciables à toutes les entreprises qui exploitent des données européennes. À partir du 25 mai 2018, le règlement européen prévoit l'obligation d'informer les utilisateurs en cas de compromission des données personnelles. Le délai d'information est de 72 heures ! 

Il ne concerne d'ailleurs pas uniquement les données personnelles. De manière générale, toute faille de sécurité devra faire l'objet d'un signalement sous trois jours.

Les sanctions prévues en cas de manquement sont particulièrement dissuasives : jusqu'à 10 et 20 M€ selon les infractions et jusqu'à 4 % du chiffre d'affaires mondial.

>>> Face au Risque reviendra sur le RGPD et ses implications pour le responsable de sécurité dans son numéro de février 2018.