GDPR : le grand « data ménage » a commencé

 

 

GDPR : le grand « data ménage » a commencé

 

 

Face à l'échéance de la mise en place du GDPR, il ne reste que quelques mois pour se « conformer ». On l'oublie trop souvent : le RGPD / GDPR offre un avantage considérable : il va permettre à toutes les entreprises et organisations de « faire le ménage » dans leurs données.

Une étude récente de Gigya a démontré que 68% des consommateurs américains n’ont pas confiance dans la capacité des marques à respecter leur confidentialité. Les consommateurs européens ressentent aussi cette méfiance. Alors comment utiliser psychologiquement le règlement européen pour rassure le marché ?

 

 

Rien n'est gagné lorsqu'on se souvient qu'au sein des entreprises européennes, une sur deux laisse au moins 1 000 fichiers sensibles en accès libre à tous ses employés. Ce manque de rigueur peut faire craindre le pire au moment ou les autorités européenne « resserrent » les boulons. En effet, en acceptant cette prise de risques, les organisations font courir des menaces sur leurs collaborateurs, partenaires et clients. Hors ces derniers réclament plus de protection sur leurs données.

Les process et contrôles rendus obligatoires par le RGPD (GDPR) vont incontestablement faire évoluer les mentalités. Le dernière étude « Varonis Data Risk Report »* de Varonis Systems met en évidence les risques liés à l’accès et aux usages des fichiers sensibles. En moyenne, pas moins de 20 % des dossiers seraient laissés en accès libre pour l’ensemble des employés. Ainsi, sur 236,5 millions de dossiers, contenant 2,8 milliards de fichiers, soit 3,79 pétaoctets de données, analysés, le rapport relève :

-           48 054 198 dossiers étaient ouverts aux « groupes d’accès globaux » ou à des groupes accordant l’accès à toute l’entreprise.

-          47 % des entreprises laissent au moins 1 000 fichiers sensibles ouverts à tous les employés ; pour 22 % d’entre elles, ce chiffre monte même à 12 000 fichiers sensibles laissés en accès libre à tous leurs employés.

-          71 % de l’ensemble des dossiers contiennent des données obsolètes, soit un total de près de 2 pétaoctets de données.

-          24,4 millions de dossiers sont associés à des autorisations uniques.

On notera que ces statistiques ne peuvent que rendre plus complexes la tâche des organisations qui devront mettre en place le RGPD.  Mais quels nouveaux avantages naîtront de ce « grand data ménage » ?

 

 

Une certitude, une nouvelle datagouvernance va naître 

Ce sera le cas par exemple avec la mise en place d'une cartographie dynamique des données à caractère personnel. Cette approche doit tenir compte d'un certain nombre de paramètres (au moins 7) : nature des données collectées, raison de la collecte, du stockage et de l 'archivage, format des données collectées, durée de conservation des données et conditions (prestataires externes par exemple) nature du consentement recueilli, enregistrement de ce consentement, solutions logicielles utilisées pour la collecte, outil de stockage des données, PIA...

Problème : face à ces exigences réglementaires  bon nombre d'études soulignent l’incapacité des entreprises à réduire l’utilisation des groupes d’accès globaux, à verrouiller les fichiers sensibles et à supprimer les données obsolètes. Une autre étude réalisée par le Ponemon Institute montre que 62 % des utilisateurs finaux affirment avoir accès à des données de l’entreprise qu’ils ne devraient probablement pas pouvoir consulter. Une dernière étude (elles sont nombreuses a l'approche de l'échéance du GDPR) signée Forrester Consulting révèle que 59 % des entreprises n’appliqueraient pas de modèle d’autorisation selon le principe du « need-to-know » (besoin de savoir) pour autoriser l’accès à leurs fichiers sensibles. Exemples ou plus exactement contre exemples :

-          35 % des 86,4 millions de dossiers d’une compagnie d’assurance étaient laissés en accès libre à l’ensemble des employés.

-          80 % des 245 575 fichiers sensibles d’un établissement bancaire étaient accessibles à l’ensemble de ses employés.

-          Un autre établissement bancaire disposait de 11,6 millions de dossiers associés à des autorisations uniques, ce qui bine évidemment limite les accès mais dans ce cas particulier ne facilite pas la fluidité nécessaire au traitement des dossiers « clients ».

Tout le paradoxe des entreprises traitant de larges volumes de datas clients se trouve là : jusqu’où justifier les règles de sécurité tout en préservant l'indispensable protection des données clients ? Les données sont souvent ciblées en fonction de leur degré de sensibilité. Bref le RGFPD / GDPR constitue une opportunité jamais apparue jusqu'alors pour refonder totalement la datagouvernance des organisations avec l'aide du DPO. Cette approche pourrait permettre de replacer le prospect / client au cœur des pratiques définies par les process.

@jpbichard

 

IBM-DATA-PROTECTION6EXTRAIT6NOV-2017-Cyberisques-News

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information