Le coûteux risque oublié du RGPD

Alors que le « Règlement Général sur la Protection des Données » (RGPD) entrera en vigueur en Europe dans moins d'un an, les banques se focalisent sur certaines de ses dispositions et tendent à en négliger d'autres. Dans une étude mandatée par AllClear ID, le cabinet Consult Hyperion s'attarde ainsi sur un enjeu à plusieurs milliards d'euros.


Parmi les multiples domaines couverts par le texte qui se substituera à partir du 25 mai 2018 à la directive sur la protection des données personnelles, les institutions financières s'inquiètent particulièrement de celles qui limitent leurs droits sur les données de leurs clients (obligation d'obtenir le consentement à l'usage, droit à la portabilité, droit à l'oubli…). D'autre part, la menace de lourdes sanctions en cas de brèche de sécurité induit des efforts redoublés pour éviter les intrusions et autres risques de vol.

Malheureusement, comme le souligne les spécialistes de Consult Hyperion, les failles sont inévitables et jamais les précautions prises ne seront 100% efficaces, surtout dans un contexte d'ouverture vers l'extérieur (aussi pour des raisons réglementaires, par exemple avec la DSP2). En projetant, de manière plutôt conservative, une évaluation des incidents des 10 dernières années, ils estiment donc que le coût des amendes infligées collectivement pour des fuites de données s'élèverait à 4,7 milliards d'euros sur 3 ans.

Le législateur a en effet eu la main lourde sur ce volet, en prévoyant des pénalités qui peuvent atteindre soit 10 millions d'euros, soit 2% du chiffre d'affaires global (ces plafonds étant doublés en cas de récidive), le plus élevé étant retenu. Or, si la survenue de brèches et, par conséquent, le risque de sanction sont une certitude, il est tout de même possible de maîtriser le montant des amendes, qui reste, in fine, à la discrétion du régulateur et est apprécié en fonction des mesures mises en œuvre pour gérer les crises.

Mais, dans leur aveuglement face à l'inéluctabilité de l'événement, certaines banques « oublient » de définir les processus qui, justement, leur permettront de gérer les retombées avec efficacité et célérité. La première exigence est l'obligation de notifier les victimes dans les 72 heures, mais il faudra aussi savoir répondre aux sollicitations qui s'ensuivront, proposer des moyens d'assistance (à défaut de réparation)… Incidemment, au-delà de la réglementation, il s'agit également de défendre l'image de l'entreprise, dont la dégradation peut rapidement représenter des coûts considérables.

La recommandation de Consult Hyperion est de préparer d'urgence les capacités de gestion de crise, en portant l'attention en priorité sur 3 axes critiques : l'expertise nécessaire pour prendre en charge les conséquences d'une faille (notamment en matière de détournement d'identité), la mise en place d'une infrastructure de communication sécurisée pour notifier les victimes et les moyens d'absorber l'inévitable flux de questions, sur tous les médias (dont les réseaux sociaux), avec toute la dextérité requise.

Pour les auteurs de l'étude, les banques n'ont guère le choix : celles qui n'ont pas de plan sont presque irrémédiablement vouées à l'échec.

Patrice Bernard
Fondateur du blog “C’est pas mon idée”

fr.linkedin.com/in/patricebernard





Les médias du groupe Finyear

Lisez gratuitement :

FINYEAR

Le quotidien Finyear :
- Finyear Quotidien

Sa newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation & Digital transformation.

Ses 4 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief Digital Officer

Finyear magazine trimestriel digital :
- Finyear Magazine

Un seul formulaire d'abonnement pour choisir de recevoir un ou plusieurs médias Finyear

BLOCKCHAIN DAILY NEWS

Le quotidien Blockchain Daily News :
- Blockchain Daily News

Sa newsletter quotidienne :
- Blockchain Daily News Newsletter
Recevez chaque matin par mail la newsletter Blockchain daily News, une sélection quotidienne des meilleures infos et expertises en Blockchain révolution.

Sa lettre mensuelle digitale :
- The Chief Blockchain Officer

Vendredi 7 Juillet 2017


Articles similaires