Trend Micro a commandité une étude européenne auprès du cabinet d’analyses Vanson Bourne afin de mesurer la réaction des entreprises européennes face à cette annonce de changement de loi.
Protection des données : les entreprises connaissent-elles la réglementation européenne ?
Plus de 800 responsables informatiques en Europe dont 100 en France ont répondu. Les résultats sont surprenants voire préoccupants ! Loïc Guézo, évangéliste Sécurité de l’Information pour l’Europe du Sud chez Trend Micro et administrateur du Clusif (photo ci-dessous) revient sur le sujet.
(((IMG7024)))
Des entreprises françaises moyennement préparées…
La France, précurseur avec la loi Informatiques et Libertés en 1978, affiche un historique de 35 ans pour la protection des données personnelles. Mais aujourd’hui, faisant suite à la première directive de l’Union Européenne, le nouveau règlement européen change la donne. Une loi va s’imposer et remplacer les lois nationales existant, et ce, dans deux ans. Cette réforme veut renforcer le contrôle des citoyens européens sur leurs données personnelles et augmenter leur protection…Pour autant, en France, 35% des répondants n’ont pas conscience qu’une réforme est en cours. Sur les 65% restants, seules 45% de ces entreprises maîtrisent les étapes nécessaires à cette conformité.
En effet, dès l’adoption de la nouvelle loi, les entreprises auront un délai de deux ans pour se mettre en conformité. Cette loi va donc générer de multiples impacts sur les entreprises. « Impacts technologiques d’une part, car il faudra sans doute ajouter de la technologie dans certaines infrastructures » souligne Loïc Guézo. Budgets, ressources, temps seront donc nécessaires ! Impacts touchant également l’organisation et les process eux-mêmes. De plus, toute entreprise de plus de 5000 personnes devra nommer un Data Privacy Officer, en charge de la sécurité des données.
Passé le délai de deux ans, en cas de violation avérée des règles, les entreprises seront face à un risque de pénalités financières, jusqu’à 5% de leur chiffre d’affaires annuel ou 100 millions d’euros selon leur taille ! « A l’issu de ces deux ans, l’impact potentiel financier est donc énorme en cas de non-conformité » ajoute Loïc Guézo.
Un accès au marché européen, totalement nouveau
Jusqu’ici, la CNIL offrait plus une approche pédagogique avant le blâme officiel et l’amende. Aujourd’hui, la volonté de l’Union Européenne se montre plus dure, sans doute, au vu du comportement récent de certains acteurs américains en matière de gestion des données. « L’UE réaffirme ainsi la mise en place d’un cadre fort par la loi au niveau européen pour protéger les données personnelles des citoyens, principe de protection des données imposé jusqu’ici par les Etats-Unis aux entreprises de l’UE » commente Loïc Guézo. Impacts assurés pour les entreprises étrangères souhaitant commercer avec les entreprises de l’UE.
Si les attaques et fuites de données existent depuis longtemps, aujourd’hui les attaquants ciblent et cherchent l’information là où elle se trouve en grand nombre (services financiers, opérateurs télécoms, commerce…).
Quelques chiffres
25% des personnes interrogées estiment que cette conformité n’est tout simplement pas réaliste. Elles pointent, parmi les principaux freins, l’absence d’une sécurité adéquate des données (32%) et une sécurité informatique déficiente (27%). En outre, 38% des personnes interrogées sur l’Europe, si elles connaissent l’existence d’une amende, ignorent néanmoins son montant. 18% déclarent ne pas être au courant de telles pénalités. En France, 21% des entreprises ignorent l’existence de ces pénalités tandis que 29% sont au courant de ce risque, mais pas du montant de la sanction.
Une nouvelle tendance
Une nouvelle notion, la cyber-assurance, émerge pour couvrir ces risques, fuite de données, dégradation de l’image de marque de l’entreprise, perte de production, de chiffre d’affaires, coûts liés aux obligations des entreprises de prévenir chaque client en cas de vol de leurs données…Toute une logistique doit se mettre en place rapidement.
Enfin, la tendance se dessinant dans les prochaines années semble être ce volet de protection des données et contenu informationnel prenant de la hauteur dans les comités de direction. Comment ce type de risque va être géré ? Comment les entreprises communiqueront en cas d’attaques ? Au final, l’objectif est d’obtenir plus de transparence. Si cette nouvelle réglementation effraie, elle pose cependant l’Europe sur la bonne voie de la protection des données.
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.