Dirk Schrader, VP of Security Research chez Netwrix
Le cinquième anniversaire du RGPD coïncide avec l'amende record imposée par la Commission irlandaise de protection des données à Meta, d'un montant de 1,2 milliard d'euros, pour non-respect de la législation européenne en matière de la protection de la vie privée. Cette amende se situe certainement dans la fourchette haute des sanctions infligées à date, la médiane se situant autour de 160 000 euros. De plus, elle représente 30 % des 3,98 milliards d'euros d'amendes infligées à ce jour dans l'UE.
L'analyse des statistiques relatives aux amendes montre que la majorité des infractions concernent le non-respect des principes du RGPD en matière de traitement des données, ou une base juridique insuffisante pour traiter les données. Seulement 10 % des amendes sont ainsi liées à l'insuffisance des mesures techniques et organisationnelles mises en place pour sécuriser l'information. Par conséquent, pour éviter les amendes, les entreprises se concentrent sur le traitement des informations personnelles des résidents de l'UE, tandis que la cybersécurité devient une préoccupation moindre. Du point de vue de la gestion de l'accès aux données, cette stratégie n’est pas optimale car il s'agit d’activités complémentaires. Les organisations devraient donc envisager d'investir dans des outils de management des accès aux données, non seulement pour se conformer aux réglementations sur la confidentialité de ces dernières, mais aussi pour protéger leurs propres investissements dans la propriété intellectuelle développée à partir des données.
Dans l'ensemble, le RGPD a servi de modèle à des réglementations plus récentes sur la protection des données, comme le California Consumer Privacy Act (CCPA) aux Etats-Unis, et a certainement une influence sur le débat juridique en cours autour du nouveau projet de loi britannique sur la protection des données et l'information numérique. Il a également initié une série de réglementations supplémentaires dans l'UE, quant à la cyber-résilience des entreprises, de leurs services et de leurs produits. Le RGPD a enfin été le premier de son genre à utiliser le terme "résilience", soulignant la nécessité de repenser les approches en matière de données et de cybersécurité.
L'analyse des statistiques relatives aux amendes montre que la majorité des infractions concernent le non-respect des principes du RGPD en matière de traitement des données, ou une base juridique insuffisante pour traiter les données. Seulement 10 % des amendes sont ainsi liées à l'insuffisance des mesures techniques et organisationnelles mises en place pour sécuriser l'information. Par conséquent, pour éviter les amendes, les entreprises se concentrent sur le traitement des informations personnelles des résidents de l'UE, tandis que la cybersécurité devient une préoccupation moindre. Du point de vue de la gestion de l'accès aux données, cette stratégie n’est pas optimale car il s'agit d’activités complémentaires. Les organisations devraient donc envisager d'investir dans des outils de management des accès aux données, non seulement pour se conformer aux réglementations sur la confidentialité de ces dernières, mais aussi pour protéger leurs propres investissements dans la propriété intellectuelle développée à partir des données.
Dans l'ensemble, le RGPD a servi de modèle à des réglementations plus récentes sur la protection des données, comme le California Consumer Privacy Act (CCPA) aux Etats-Unis, et a certainement une influence sur le débat juridique en cours autour du nouveau projet de loi britannique sur la protection des données et l'information numérique. Il a également initié une série de réglementations supplémentaires dans l'UE, quant à la cyber-résilience des entreprises, de leurs services et de leurs produits. Le RGPD a enfin été le premier de son genre à utiliser le terme "résilience", soulignant la nécessité de repenser les approches en matière de données et de cybersécurité.