Traitement des données par les villes et les communes

Plaintes relatives à la COVID-19

Marketing direct (principalement autour de la problématique des cookies) 

25% de signalements de fuites de données de plus qu’en 2019

4 fois plus de plaintes qu’en 2019

Top 3 des plaintes les plus fréquentes

En 2020, l’Autorité de protection des données a reçu

Le RGPD fête ses trois ans d’entrée en vigueur. Un délai suffisant pour assimiler les règles et se déclarer en conformité pourrait-on penser. La réalité s’inscrit plutôt dans une conscientisation croissante mais il reste des étapes à franchir. “Les entreprises se conforment lentement mais sûrement. Nous traversons également une ère de recours massif au numérique et de nouveaux types de données sont apparus. Un processus continu qui génère de nombreuses questions. Nous sommes là pour y répondre”, souligne Aurélie Waeterinckx, porte-parole de l’Autorité de protection des données (APD).

L’APD accompagne les entreprises

Pour Aurélie Waeterinckx, il y a des outils existants à exploiter : “Trop peu d’organisations ont recours au code de conduite pour démontrer le respect des obligations RGPD. S’il ne garantit pas la conformité au règlement, il représente un atout dans l’évaluation de cette conformité. Ici aussi nous sommes là pour guider les entreprises.”

Mais quelles sont les principales erreurs sur lesquelles les entreprises trébuchent encore aujourd’hui ? Selon Aurélie, la pole position est occupée par le marketing sans consentement et le manque de transparence en général. Les utilisateurs ne sont pas (ou peu) informés du traitement réservé à leurs données personnelles. “Nous relevons aussi le manque d’importance attribué au DPO dans l’entreprise ou encore le manque de réflexion préalable. Le réflexe RGPD doit naître avant le démarrage d’un projet.”

Après consultation de plus de 250 PME, l’APD a détecté trois faiblesses majeures sur le terrain. La première concerne le principe (fondamental) de transparence. L’entreprise est consciente de son devoir d’information par rapport au traitement qu’elle réserve aux données, mais ne le communique pas, ou mal. “La lacune suivante concerne le principe d’analyse d’impact. Un outil obligatoire pour les traitements susceptibles d’engendrer des risques élevés. La majorité des PME interrogées en ont la connaissance sans pour autant le mettre en place”, complète Aurélie Waeterinckx. Enfin, seuls 50% des répondants ont acquis les notions de ‘responsable du traitement’ et de ‘sous-traitant’ au sein de l’organisation.

Les PME ne restent pas inactives au regard du RGPD. Elles scannent le web à la recherche de conseils, elles consultent leur organisation sectorielle… Un constat que l’APD a décidé de transformer en opportunité. “Les PME font partie de nos priorités et nous mettons dorénavant une vraie boîte à outils à leur disposition. Je conseille deux publications de référence : le vade-mecum et le Plan d’action en 13 étapes. Des informations concrètes qui sont complétées par une brochure FAQ. Bref, un vrai tableau de bord pour les PME.”

Aider les micro-, petites et moyennes entreprises de tout secteur dans la mise en œuvre du RGPD. C’est l’objectif du projet BOOST réalisé par l’APD et financé par l’Union européenne. Cette grande action de sensibilisation est aussi une belle boîte à outils. “Nous mettons, entre autres, des modèles de lettres à disposition, nous vulgarisons l’information via des vidéos, nous publions une newsletter et nous organisons des webinaires. Le dernier a réuni 735 inscrits. Preuve du besoin sur le terrain et de la pertinence de nos actions”, explique la porte-parole de l’APD.

La loi NIS, issue de la directive européenne du même nom, est la première législation en matière de cybersécurité en Belgique. Trois ans après son entrée en vigueur, le Centre pour la Cybersécurité Belgique est globalement satisfait du respect des règles de la part des entreprises. "Mais il est encore trop tôt pour évaluer complètement la mise en œuvre des règles. Les premiers audits internes viennent d’être réalisés et les premiers audits externes seront réalisés en 2023", précise Valéry Vander Geeten, responsable juridique du Centre pour la Cybersécurité Belgique.

l’Europe élargit la réglementation NIS

Jusqu’ici, les règles s’appliquent aux secteurs du transport, de l’énergie, des finances, de la santé, de l’eau potable, des infrastructures numériques et des fournisseurs de services numériques. NIS 2, la nouvelle proposition de directive, prévoit d’élargir les types d’opérateurs dans certains des secteurs existants et d’ajouter de nouveaux secteurs : les opérateurs télécoms, les administrations publiques ou encore les entreprises de chimie en font partie. "Notons également que l’identification préalable par l’autorité sectorielle compétente ne serait plus nécessaire. Si vous tombez sous la définition, vous devez respecter la directive", souligne Valéry.

Une législation plus stricte est bénéfique à toute organisation, quelle que soit sa taille. Le secteur de l’énergie est évidemment crucial pour tous les autres secteurs et la sécurité de ses systèmes industriels est un enjeu important. Idem pour le secteur public dont les récents incidents en sont la preuve. "Dans la proposition NIS 2, les micro- ou petites entreprises seraient exclues, avec de nombreuses exceptions, notamment pour les entités qui pourraient avoir une incidence sur la sécurité publique, la sûreté publique ou la santé publique. Néanmoins, je pense que tout le monde est concerné. La cybersécurité n’est pas qu’une question d’IT, c’est avant tout une culture d’entreprise."

"La cybersécurité n’est pas qu’une question d’IT,
c’est avant tout une culture d’entreprise.”

Portée élargie afin d’inclure davantage de secteurs et services, qu’il s’agisse d’entités importantes ou essentielles.

NIS2

Les États membres de l’UE renforcent leurs capacités en matière de cybersécurité.

NIS

capacités

Une liste de sanctions administratives, incluant des amendes pour violation des obligations de gestion des risques et de notification, est établie.

Des mesures de surveillance et une application plus rigoureuses sont introduites.

NIS2

Partage d’informations et coopération accrus entre les autorités des États membres et rôle renforcé du groupe de coopération.

Institution d’un réseau européen pour la préparation et la gestion des cybercrises par les États membres (UE-CyCLONe) afin de contribuer à la gestion coordonnée des incidents et crises de grande ampleur en matière de cybersécurité.

NIS 2

Responsabilité des directions d’entreprises quant à leur respect des mesures de gestion des risques de cybersécurité.

Obligations rationalisées de notification des incidents, avec des dispositions relatives au processus, au contenu et aux délais de notification plus précises.

Renforcement de la cybersécurité de la chaîne d’approvisionnement des technologies clés d’information et de communication.

Exigences de sécurité renforcées avec une liste de mesures ciblées incluant une réponse aux incidents et une gestion de crise, la gestion et la divulgation des vulnérabilités, des tests de cybersécurité et un usage efficace du chiffrement.

NIS 2

Coopération accrue au niveau de l’UE.

NIS

Coopération 

Les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) doivent adopter les pratiques de gestion des risques et signaler les incidents significatifs à leurs autorités nationales.

NIS

cybersécurité - Gestion des risques

Soins de santé  

Transports

Banque et infrastructures des marchés financiers

Infrastructures numériques

Fourniture d’eau potable

Énergie

Fournisseurs de services digitaux

NIS

La certification est donc pratique pour refléter objectivement le niveau de protection des données d’une organisation. ISO 27001 est un certificat reconnu au niveau international pour la protection des données. “Il s’agit d’un cadre d’exigences auxquelles un système destiné à la protection des données doit répondre”, explique Bart Tollebeek, consultant en protection des données chez Proximus. “Plus simplement : l’organisation identifie pas à pas les risques potentiels. L’évaluation des risques en matière de sécurité mène ensuite à la mise en place de mesures proportionnelles.” Si l’organisation passe avec succès la vérification par un auditeur accrédité, elle obtient le certificat ISO 27001 pour une durée de trois ans. “Durant cette période, un contrôle annuel a lieu”, poursuit Bart. “Le certificat repose sur le principe d’amélioration constante.”

“La protection des données est essentielle pour nous”, explique Brigitte Van Gerven, responsable de projet. “Nous traitons un très grand nombre de données confidentielles sur notre plateforme.” Le volume de ces données a fortement augmenté depuis la création d’UBench International en 2003. “Pour en conserver une vue d’ensemble, une approche systématique et globale est nécessaire. En particulier quand vous visez, comme nous, une amélioration constante de la protection des données.” Une vision qui constitue de plus en plus un principe de base sur le marché. “La plupart des appels d’offres imposent des exigences strictes en matière de protection des données.”

CASE