TECHNOLOGY
Les pertes de données sontelles inévitables à l’ère du numérique ? Marc Delhaie, Président-Directeur Général d’Iron Mountain France
Sachant que 93 % des grands groupes et 76 % des petites entreprises 1 reconnaissent avoir été victimes d’une faille de leur sécurité au cours des deux dernières années, vous auriez toutes les raisons de penser que les entreprises s’exposent inévitablement au risque de perdre des données. D’ailleurs, une étude d’Iron Mountain révèle 2 que plus de la moitié des entreprises européennes (53,3 %) s’attendent à perdre un jour des données ; c’est qu’elles ne sont tout simplement pas préparées à protéger leurs informations conf identielles. Un tel manque de vigilance est inquiétant. Beaucoup préfèrent s’assurer contre le coût financier d’une violation ou un per te de données que de prendre des mesures pour se prémunir du risque. Or, il serait bien plus rentable et favorable pour la prospérité des entreprises sur le long terme qu’elles investissent pour combler les failles de leur programme de protection des données et empêcher que leurs informations tombent entre de mauvaises mains. Les conséquences de la perte de contrôle sur ses données La proposition de réforme de la législation relative à la protection des données de la Commission Européenne, présentée en janvier 2012, prévoyait des amendes pouvant atteindre 1 million d’euro ou 2 % du chif fre d’af faires annuel de l’entreprise
38
|
Finyear
en cas de violation de données. Un vote récent des législateurs de l’UE contre ces sanctions, proposant plutôt de confier la définition de l’impor tance d’une amende dans les mains des régulateurs nationaux, indique que la loi définitive est susceptible d’être moins sévère que prévu. Quelle que soit la taille finale des amendes qui seront infligées, nous remarquons que la menace de pénalités financières aussi lourdes n’a pas incité les entreprises à adopter des politiques de gouvernance appropriées pour protéger leurs informations sensibles des citoyens de l’UE. Mais les conséquences financières ne sont pas les seules. La compromission de données peut être bien plus préjudiciable pour la réputation d’une marque et la confiance des clients. Avec la généralisation des médias sociaux autant à des fins personnelles que professionnelles, les réputations se défont plus vite et à plus grande échelle que jamais, au point qu’une violation de données aussi minime soit-elle, peut avoir de graves conséquences. Satisfaire les attentes de protection des données Avant qu’une entreprise puisse mettre en place des mesures de protection de ses informations, elle doit d’abord définir clairement les responsabilités et obligations visà-vis de ces données, où qu’elles soient stockées. La loi invoque la responsabilité des entreprises en cas
N°22 - M A R S 2013
de per te de leurs données, même si les informations concernées sont stockées par un tiers. Il revient donc aux entreprises d’évaluer, de gérer et de limiter l’exposition au risque de leurs informations d’un bout à l’autre de la chaîne, dans le cadre d’un programme de responsabilité des informations d’entreprise (ou Corporate Information Responsibilit y, CIR). La nouvelle proposition de législation de protection des données de l’UE implique de gros changements pour les entreprises. Selon le projet de réforme, les entreprises devraient notifier les autorités de réglementation sous 24 heures suivant une compromission. Ceci suppose d’avoir des processus ef ficaces et bien huilés d’identification et de repor ting d’incident. La question de la sur veillance de l’intégrité des données se pose également, sur tout au vu de la multiplication des médias sociaux et des terminaux mobiles. Ce peut être un vrai casse-tête que de savoir où se trouvent les informations que possède l’entreprise, sur quels suppor ts et dans quels formats physiques et électroniques. La nouvelle législation de protection des données que souhaite adopter l’UE forcera les entreprises à prendre au sérieux le risque de perdre des données et à agir en ce sens. Son application promet de nombreuses évolutions positives pour le suivi et la prévention des risques encourus par l’information, mais cela ne se fera pas en un jour. En Allemagne, les