Que ce soit aux États-Unis ou en Europe, la protection des données personnelles est devenue une priorité absolue, et les entreprises qui pourraient être à la traîne dans ce domaine sont désireuses de s'y conformer. Pourtant, il ne faut pas confondre vitesse et précipitation, pour éviter les erreurs "classiques" qui peuvent nuire à une organisation.
L'obsession de la conformité et le rejet de la faute uniquement sur l'IT
La plus grande erreur qu'une entreprise puisse commettre c’est de blâmer directement l'équipe informatique en cas de violation de la conformité. Un rapport montre que 65 % des entreprises sont confrontées à des incidents de sécurité, auquel la plupart sont dus à des erreurs humaines ou à des logiciels malveillants. Le non-respect de la réglementation fait souvent la une des journaux. Il est donc facile de s’inquiéter et de prendre de mauvaises décisions. L'exemple récent d’une compagnie aérienne illustre exactement cette situation. Pressée de se mettre en conformité, elle a rédigé l'e-mail demandant à ses usagers de mettre à jour les données personnelles et préférences marketing, avant de l'envoyer à l'un de ses clients, y compris ceux qui se désabonnent de ces e-mails de personnes qui ne les reçoivent plus. En tant que telle, elle enfreint la réglementation britannique sur la confidentialité et les communications électroniques (PECR), qui interdit la distribution de tels e-mails, considérés comme des dossiers de marketing, sans le consentement du destinataire.
Adopter une approche de sécurité partagée
Le RGPD et de nombreuses autres réglementations nécessitent une approche globale de la sécurité qui implique non seulement la technologie, mais aussi les processus, la gouvernance et les personnes. Cependant, un récent rapport a révélé que vingt-six pour cent des entreprises de l'UE prétendant être conformes au RGPD finissaient par trop se concentrer sur des mesures informatiques et ne remplissaient que les exigences spécifiques du règlement, comme la notification de violation d’une confidentialité des données ou le consentement.
Être trop catégorique et réactif plutôt que proactif
La plupart des réglementations nécessitent une approche proactive à long terme, et cela est difficile pour les services informatiques à mettre en pratique, car des actions sont parfois prises en réponse à des nouvelles exigences. Si les services informatiques reçoivent chaque jour des demandes des collègues, ils ne seront pas en mesure d'empêcher les violations de données ou d'assurer la conformité aux autres exigences RGPD. C'est pourquoi la source des limitations des services informatiques doit être identifiée. Un président d’une organisation a suggéré qu'au lieu de réglementer et de protéger les données personnelles, les sociétés devraient cesser de les collecter. Certains organismes adoptent cette approche et suppriment toutes les données client qui pourraient être jugées sensibles pour éliminer tout risque d'amendes GDPR. Ces mesures sont non seulement trop dures, mais aussi inefficaces. La suppression de votre base de données client ne supprime pas l'obligation de faire rapport aux régulateurs ; cela ne fait que nuire à la compétitivité de l'entreprise sur le marché.