Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RGPD - 2 ans après, un bilan mitigé

mai 2020 par Greg Day, CSO et Vice-président EMEA de Palo Alto Networks

Alors que nous célébrons aujourd’hui le deuxième anniversaire de l’entrée en vigueur du RGPD, je partage avec vous l’avis et commentaire de Greg Day, CSO et VP EMEA de Palo Alto Networks, sur son application et son futur au regard de la nouvelle "normalité" du travail (adoption du Cloud, télétravail/CoVid).

Concernant le deuxième anniversaire du RGPD (ou Règlement Général de Protection des Données), Greg Day estime que :

« Comme tout le reste, le respect du RGPD est mis à rude épreuve en ce moment. Il ne fait aucun doute qu’il y aura des manques au RGPD en sortant de la crise du COVID-19. La bascule instantanée qu’ont dû faire de nombreuses sociétés pour adopter de nouvelles méthodes de collaboration en ligne, en ayant quasiment tous leurs salariés contraints au télétravail, signifie que la sécurité et le respect de la vie privée ont dû s’adapter rapidement à des changements très importants.

Alors que nous fêtons le deuxième anniversaire de l’entrée en vigueur du RGPD, l’une de mes principales inquiétudes est que, d’une façon ou d’une autre, l’objectif éducatif de cette régulation s’est perdu. Nous avons, semble-t-il, raté l’opportunité d’aider les entreprises à apprendre de leurs erreurs. Or pour moi, c’était l’un des aspects positifs du RGPD. Celui-ci a été conçu comme une feuille de route pour améliorer en continu la sécurité et le respect de la vie privée des entreprises. Toutefois, je ne crois pas qu’il y ait eu un effort international pour recenser les erreurs les plus courantes commises par les sociétés, quelle que soit leur taille, en appliquant le RGPD et pour les éviter. Pourtant celles-ci apprécieraient d’avoir de telles informations, en particulier dans la crise actuelle.

La loi doit être écrite pour être neutre technologiquement, car la législation et les avancées techniques évoluent à des rythmes très différents. J’ai pris conscience de ce fait il y a bien des années au moment de la convention de Budapest, qui sert de base pour de nombreuses lois nationales sur la cybercriminalité. Celles-ci étaient écrites en tenant compte de l’impact plus que de la technologie elle-même. Toutefois, même un RGPD basé sur des principes n’aurait pu prédire la vitesse à laquelle la technologie change, tout comme le volume de données que nous échangeons ou bien encore la manière dont nous les partageons.

Deux ans sont une éternité en terme technologique ; il faut certainement réévaluer la façon dont les principes du RGPD s’appliquent aux nouvelles technologies et à l’évolution des flux de données. De plus, son interprétation et son implémentation ne sont pas les mêmes d’un pays de l’UE à l’autre. Il est important de s’assurer que l’application du RGPD reste claire malgré les différents changements technologiques. Ainsi, depuis que le RGPD est entré en application, de nombreuses sociétés ont migré dans le cloud, dont l’usage s’est fortement généralisé avec de forts taux d’adoption. Il faut que ces entreprises réfléchissent à la façon dont le RGPD s’y applique alors que les données circulent dans le cloud de façon nettement plus importante que prévu. Ceci pour documenter les risques spécifiques qui s’y posent, et pour définir une feuille de route pour un respect continu de la vie privée et une amélioration de la sécurité.

Ce qui me frappe c’est le fait qu’il y a toujours aussi peu de sociétés sachant réellement où se trouvent leurs données dans le cloud, qui y accèdent, ou bien encore quelle est leur responsabilité en matière de sécurité. Pour beaucoup, le COVID-19 a accéléré cette migration, testant l’efficacité des équipes informatiques en matière de sécurité en raison du changement rapide des besoins et d’une force de travail plus dispersée.

Toutes les réglementations, y compris le RGPD, doivent s’appliquer ici mais aussi aux prochaines évolutions technologiques, comme la future interconnexion promise avec les réseaux 5G et la prolifération des appareils connectés en tout genre.

Nous commençons seulement à comprendre cette nouvelle normalité du travail, mais même sans la situation actuelle compliquée, nous devrions prendre le temps de réfléchir à la façon dont les entreprises doivent faire évoluer leur conformité au RGPD dans l’optique d’une amélioration continue de la sécurité et du respect de la vie privée pour mieux protéger nos sociétés et nos économies en ligne. »




Voir les articles précédents

    

Voir les articles suivants