Le RGPD (règlement général sur la protection des données) n’a pas toujours bonne presse auprès des entreprises, qui s’y plient bon gré mal gré, par crainte des sanctions plus que dans une démarche volontariste. En sécurisant les données personnelles des utilisateurs des sites, le RGPD se révèle pourtant un rempart efficace en termes de cybersécurité et de protection contre le cybercrime.
1. Sécuriser les données personnelles des internautes européens
Le RGPD est un règlement européen mis en place depuis le mois de mai 2018 qui impose aux organismes publics et privés (aux entreprises dans la plupart des cas) des règles contraignantes en matière de gestion et de traitement des données personnelles des utilisateurs de leurs plateformes Internet. L’objectif affiché de l’Union européenne : sécuriser les données personnelles collectées en ligne !
Les gestionnaires de sites doivent donc désormais offrir des garanties fortes à tout moment pour rester en conformité avec le RGPD. En France, la commission nationale informatique et libertés (Cnil) recommande notamment 6 étapes pour garantir la conformité : ne récolter que les données vraiment nécessaires, être totalement transparent, organiser et faciliter le droit des personnes, fixer des durées de conservation des données, sécuriser les données et identifier les risques, et inscrire la mise en conformité dans une démarche continue.
Autant de grands principes qui doivent être mis en place et ajustés dans le contexte de chaque organisation et de chaque entreprise, et qui concernent tout à la fois les utilisateurs externes de sites, que les employés au sein d’une entreprise. Autant de raisons qui expliquent que le RGPD est souvent perçu de manière négative par les gestionnaires de sites et en particulier par les professionnels. Pourtant, malgré sa lourdeur, le RGPD offre des avantages non négligeables en termes de renforcement de la cybersécurité.
2. RGPD : une mauvaise nouvelle… surtout pour les hackers
Plus que les entreprises, ce sont bien les hackers qui semblent être les grands perdants de la réglementation européennes qui a notamment fortement freiné au cours des deux dernières années les fragilités des organisations en termes de ransomware. Les contraintes mises en place par le RGPD leur compliquent la tâche et ont de ce fait sécurisé les réseaux des entreprises, ainsi que les données personnelles de leurs utilisateurs et de leurs employés.
Plus on limite l’étendue des données personnelles exploitées par les entreprises (que ce soit en volume ou en durée de conservation), et moins les hackers ont de possibilités de mener des attaques et de prendre le contrôle sur des bases de données sensibles qu’ils pourraient exploiter au détriment des utilisateurs.
Ce n’est d’ailleurs pas une coïncidence si, d’après le rapport Provider Lens Cyber Security - Solutions & Services 2020, réalisé par le groupe Information Services Group (ISG), les entreprises françaises ont effectué une montée en gamme et en compétences en matière de cybersécurité depuis la mise en place du RGPD. C’est le Web dans son ensemble qui est ressorti plus sécurisé des dispositions du RGPD. En mai 2019, soit un an après le lancement du RGPD, 39 500 organisations françaises avaient désigné un responsable de la protection des données (DPO) dans l’Hexagone.