Les données, un risque de réputation mortel pour les chefs d’entreprise
La multinationale japonaise Sony, le spécialiste américain du crédit Equifax, l’opérateur britannique de télécoms TalkTalk, la licorne Uber, la chaîne de magasins Target, le site de rencontres Ashley Madison… Ces entreprises qui évoluent dans des univers différents ont toutes un point commun : leurs dirigeants ont été remerciés à la suite d’une fuite de données personnelles. Aujourd’hui, c’est Mark Zuckerberg, le fondateur de Facebook, qui est sur la sellette.
Le départ d’un patron n’est pas la pire des conséquences imaginables en cas de scandale :Verizon a suspendu son rachat de Yahoo! à la suite de l’annonce du piratage de la totalité des comptes utilisateurs de cette dernière entreprise. Une suspension dont la levée a coïncidé… avec le départ de la PDG de Yahoo!, Marissa Mayer.
Les entreprises ne peuvent plus traiter ces données comme de simples flux de mégaoctets #
Qu’il s’agisse des mots de passe des utilisateurs de Yahoo!, des courriers électroniques des employés de Sony, des cartes bancaires des clients de TalkTalk et de Target, de la géolocalisation des passagers d’Uber ou encore des préférences sexuelles des abonnés d’Ashley Madison, une faute de gestion des données personnelles peut impacter la vie privée des individus au point de briser des carrières, des ménages, voire des vies entières.
Parce que nous leur confions des informations sensibles sur notre identité, notre patrimoine, nos habitudes les plus intimes — en un mot, sur notre vie —, les entreprises ne peuvent plus traiter ces données comme de simples flux de mégaoctets circulant dans leurs systèmes informatiques.
Lourdes sanctions #
L’Europe s’est saisie du sujet. À partir du 25 mai prochain, l’entrée en vigueur du règlement général sur la protection des données personnelles (RGPD) contraindra toutes les organisations traitant des données personnelles de résidents européens à maîtriser l’impact de leurs traitements de données sur la vie privée des personnes.
Côté systèmes d’information, elles devront s’assurer que les informations personnelles sur leurs employés, leurs clients ou encore sur leurs utilisateurs sont collectées, stockées et transmises de façon sécurisée et confidentielle.
Vis-à-vis du public et de ses représentants, la conformité au RGPD passe nécessairement par une prise de conscience d’ordre éthique. L’entreprise soucieuse de sa réputation doit apprendre à faire respecter ses engagements à tous les échelons de son organisation et à en démontrer l’application non seulement au quotidien mais surtout en cas d’incident : perte de données, piratage ou encore exploitation malveillante.
Les sanctions sont à la hauteur des enjeux. Une entreprise fautive d’avoir mal sécurisé les données de ses utilisateurs, de ne pas respecter les droits de ces derniers ou encore de garder secrète une fuite de données personnelles pourra se voir infliger une amende allant jusqu’à 20 millions d’euros ou 4 % de son chiffre d’affaires — le plus élevé de ces deux montants…
Pas de risque zéro #
On le voit, la sécurisation des données constitue aujourd’hui un enjeu clef pour les entreprises. Ces dernières ont aujourd’hui la responsabilité de garantir à l’ensemble des parties prenantes dont elles détiennent des données qu’elles mettent tout en oeuvre pour les sécuriser. Bien sûr le risque zéro n’existe pas, mais une entreprise sera jugée à la fois sur les mesures qu’elle aura mises en place pour sécuriser au maximum ces informations et sur sa capacité à être transparente en cas de fuite ou de perte de données.
Le RGPD doit donc mobiliser personnellement les plus hauts dirigeants tant son impact sur la réputation de leurs entreprises mais aussi, in fine, sur leur gouvernance et leurs comptes est considérable. Une évidence peut-être pour certains, mais que tous doivent impérativement partager et appliquer : le droit à l’erreur n’existe pas et il y va de la préservation des entreprises.
Élodie Granger est présidente d’Anyon, Grégoire Lucas est associé d’Image Sept, Rubin Sfadj est cofondateur de Proposition 47.