RGPD : les conseils d’UBCOM

Le RGPD est -il véritablement pertinent pour sécuriser les entreprises ?

Il l’est, sans aucun doute, grâce à l’article 32 qui prévoit une obligation de sécurisation du système d’information permettant à l’entreprise de réduire naturellement sa dette technique et augmenter implicitement sa résilience.

Quelles sont les principales raisons évoquées pour ne pas être en conformité avec le RGPD ?

Le fameux « on a toujours fait comme ça et ça fonctionne ! » est celui qui est le plus entendu chez les PME / TPE. Une fois dépassé ce cadre, c’est le manque de ressources humaines donc de compétences en interne qui fait défaut. Cela induit tout naturellement l’argument financier. Pour autant c’est bel et bien l’humain qui une fois encore constitue la faille comme dans le process de hacking.

De plus, la CNIL qui annonce lors de sa conférence de presse qu’elle va « montrer les crocs » est inutile. Il ne s’agit pas d’une volonté d’être hors la loi mais d’une incapacité structurelle, financière et humaine ! Certains métiers, s’ils se mettent en conformité demain devront totalement se réinventer. D’autres devront couper des budgets pour acquérir de la main d’oeuvre compétente. Qu’en est-il de l’Etat, des Chambres de Commerce ou encore du MEDEF quant à une possible aide financière ? Rien.

Les GAFAM et le RGPD ?

Il n’y a pas de « GAFAM & RGPD ». Le principe même de protection des données personnelles tue leur modèle économique. En effet, la rémunération des GAFAM repose sur la valorisation des données personnelles c’est pourquoi Facebook est en ce moment dans la tourmente…. Chaque nouveau service proposé repose sur la récolte de nouvelles données personnelles. C’est là toute la force du numérique et de son marché qui imposent de proposer sans discontinuité des nouvelles fonctions, qu’elles soient applicatives ou technologiques. Les GAFAM dépensent des milliards pour promouvoir leur business model. A noter qu’une partie significative de ce budget est destinée à accompagner les élus européens dans le nécessaire assouplissement de la loi ou à la production de nouvelles réglementations venant amoindrir le texte originel.

Quels sont les secteurs les plus vulnérables ?

Tous les secteurs ayant un business model basé sur le numérique et générant un nombre important de données personnelles sont des proies pour les hackers. Ces données ont une valeur inestimable pour la cybercriminalité. Elles sont donc attractives et génèrent de facto une exposition aux risques.

A contrario, le secteur de l’industrie par son système et son environnement peu inscrit sur le net préserve une part de sécurité. Pour autant, il reste le moins conforme au RGPD mais pas le « plus prioritaire ».

Quels conseils aux entreprises qui n’ont pas l’intention de se mettre en conformité avec le RGPD ?

a) Pour être dans le respect des articles les plus « touchy » ?

Le pragmatisme est une forme d’alternative. A titre d’exemple, si une boulangerie ayant un site internet décide de mettre à disposition une fonction de commande en ligne, il faut alors s’appuyer sur des services clés en main qui prennent en charge dans leurs offres la réglementation. S’appuyer sur son éditeur de site signifie qu’il faudra en interne les compétences nécessaires pour maîtriser le risque. Cela devient très vite chronophage et un gouffre financier.

b) Comment détecter une non-conformité au RGPD ?

C’est assez simple quand on est expert. On en découvre tous les jours. Ce qui devient plus ennuyeux c’est quand on vient à le découvrir auprès d’acteurs économiques qui ont fait l’effort de se mettre en conformité, mais en laissant quelques détails criants qui indique que rien n’est vraiment maîtrisé. Et c’est là qu’on observe que ce sont souvent les grands acteurs qui sont le plus en défaut. Malgré un budget énorme consacré à la protection et au RGPD, les acteurs sollicités pour cela agissent souvent dans un périmètre réduit comme c’est le cas des avocats. En effet, les avocats sont légitimes pour le RGPD dans la partie contractuelle, mais ils sont inopérants en informatique. Impossible alors de détecter si l’informatique va tenir la promesse qui est faite dans les contrats.

c) RGPD : hacking et retournement de situation

Concernant le hacking, le risque zéro n’existe pas. Mais le hacker est rémunéré à l’heure plus il perd de temps moins cela devient rentable. Par nature, il se tournera vers les entreprises les plus vulnérables. Autrement dit aucune entreprise n’est à l’abri même celles conformes au RGPD, elles sont simplement moins susceptibles d’attaques car le hacker réfléchit en termes de temps !

En termes d’utilisateur de service, l’entreprise ne peut pas signifier qu’elle ne respecte pas les règles à l’utilisateur ! Il suffit de regarder la base Ariane du Ministères des Affaires Etrangères ou Facebook pour voir que personne n’applique parfaitement le RGPD. C’est pourquoi la loi prévoit des compensations. En effet, personne aujourd’hui n’a attaqué l’Etat pour le non-respect de l’article 32 (Défaut de sécurisation ) ? Personne n’attaque un service non conforme, des affaires sont révélées et portées au grand jour pour avertir les utilisateurs mais ça s’arrête là. Il y a derrière une affaire politique et un calendrier électoral à tenir. Le numérique bouge trop rapidement et offre un champ quasi incontrôlable. Il faut désormais s’habituer à vivre dans un monde de hacking. C’est pourquoi il est indispensable d’encourager tous les acteurs privés comme publics à être en permanence vigilant et attentif à la moindre opération suspecte.