Une réglementation telle que le RGPD européen a véritablement mis le management des informations relatives à la vie privée à l'ordre du jour de toutes les entreprises en 2018. La propriété individuelle des données personnelles a été mise en avant et les entreprises du monde entier ont été contraintes de protéger ce droit de manière conforme à la loi.
La protection cohérente des données personnelles continue de mettre les entreprises au défi. Une récente enquête Espresso de DNV a révélé que la maturité n'a que légèrement augmenté depuis l'enquête comparable de 2019. Lorsque le RGPD a été mis en œuvre il y a 4 ans, les entreprises se sont démenées pour assurer leur conformité. Il semble que cela ait pu rester l'angle principal pour de nombreuses entreprises. Cependant, aborder le management des informations de confidentialité d'un point de vue juridique uniquement pourrait être très limitatif.
Le facteur humain, principale source de risque
Les entreprises interrogées ont indiqué que l'erreur humaine était la principale source de risque (44,5 %). Viennent ensuite le manque de sensibilisation des employé.e.s ou une mauvaise culture organisationnelle (27,7%) et le manque de compétences juridiques/interprétation des exigences légales (25,3%). La préoccupation pour les questions d'organisation, de culture et de compétence, plutôt que pour les menaces externes, n'est pas nécessairement très différente du tableau dressé en 2019. Cependant, on constate un déplacement des actions de l'informatique vers les personnes. En 2019, le renforcement de la sécurité informatique était le principal domaine d'investissement, il est désormais dépassé par la formation et la sensibilisation du personnel. Cette dernière est priorisée par près d'1 répondant sur 2.
Lorsque l'erreur humaine et le manque de sensibilisation sont considérés comme des risques majeurs, cela signifie souvent qu'un renforcement efficace de la culture n'a pas eu lieu. La mise en œuvre d'un modèle formel de reconnaissance tierce partie du système de management pourrait facilement atténuer ce problème. Toute organisation connaît des ressources transitoires en raison de la rotation du personnel, par exemple. Il est donc nécessaire de former les nouveaux employé.e.s ou de rafraîchir la sensibilisation du personnel existant à intervalles réguliers.
Construire une culture de sécurité cohérente
La meilleure façon de répondre à ce besoin est d'utiliser un modèle de système de management basé sur les meilleures pratiques décrites dans la norme ISO 27701 relative au système de management des informations sur la vie privée. Cette norme énonce des exigences spécifiques en matière de formation et de sensibilisation régulières afin de garantir un niveau cohérent dans toute l'organisation. Cela conduit à un engagement accru et permet aux employé.e.s de penser en termes de "vie privée", ce qui les aide à mieux gérer "l'incertitude" liée à la vie privée. L'expérience d'autres domaines, tels que la sécurité de l'information, a clairement démontré la capacité d'une organisation à construire et à améliorer une culture de la sécurité par la mise en œuvre d'un système de management.
Dans une société multiconnectée, les menaces qui pèsent sur la vie privée vont de la sécurité de l'information et de la cyber-sécurité à l'utilisation ou au stockage illicites, même involontaires, de données par l'entreprise elle-même ou d'autres acteurs légitimes. Comme la plupart des entreprises semblent aujourd'hui exposées à des risques, les investissements dans la sécurité informatique sont essentiels. Cependant, le point faible de la chaîne de données est souvent la personne qui utilise l'information et les appareils ou logiciels qui la traitent. Cela met en évidence le besoin important de formations régulières. Il peut s'agir d'une formation en ligne, de petits modules de formation ou d'une formation plus approfondie pour tout le personnel impliqué dans la gestion des données.
Des systèmes pour une approche robuste et fiable
Bien sûr, d'autres aspects sont importants en plus d'un système de management conforme. Par exemple, la présence d'expert.e.s internes en la matière, correctement formé.e.s, qui sont le point de contact pour les demandes ou les doutes du personnel, est essentielle. Ces expert.e.s peuvent également aider toute entreprise à étendre réellement la logique de la confidentialité par conception et par défaut. Elle assure systématiquement la sécurité des données en mettant en place des processus limitant la collecte et le traitement, assurant la qualité, gérant la conservation et l'élimination et les contrôles lors de la transmission des données au stade de la conception de tout projet ou des changements dans la façon de traiter les données.
L'enquête de DNV a révélé un lourd investissement des entreprises dans la formation et la sensibilisation du personnel afin d'atténuer le risque d'erreur humaine. Investir dans la compétence est toujours une approche constructive. Nous voyons une opportunité pour les entreprises qui investissent fortement dans la formation, de coupler cela avec la mise en œuvre d'un système de management de l'information sur la vie privée ISO 27701 pour obtenir une approche plus robuste, résiliente et fiable.
Par Nanda kumar Shamanna, ICT Business Manager, DNV
