L’état de la confidentialité en ligne au Royaume-Uni : en faisons-nous assez ?

Le règlement général de l'UE sur la protection des données (GDPR) est entrée en vigueur en mai 2018. Cette réglementation stricte en matière de confidentialité et de sécurité des données impose des exigences strictes aux organisations qui collectent et traitent les données personnelles des citoyens de l'UE et impose de lourdes amendes en cas de violation.   

Le règlement a été élaboré pour protéger les données personnelles des résidents et des citoyens de l'UE en fonction des avancées technologiques, telles que la publicité ciblée et le marketing par courrier électronique. Malgré la sortie du Royaume-Uni de l'Union européenne, le Royaume-Uni conserve le RGPD dans sa législation nationale sous le nom de RGPD britannique.   

Cependant, alors que les entreprises s’efforcent de protéger les données qu’elles détiennent, les acteurs malveillants sont toujours aux aguets et à la recherche d’opportunités pour attaquer. Les violations de données sont en augmentation, les acteurs malveillants développent des méthodes d’attaque de plus en plus sophistiquées et les organisations sont plus que jamais surveillées en ce qui concerne la confidentialité des données et la manière dont elles sécurisent les informations des consommateurs.   

Les entreprises ont du mal à assurer la sécurité de leurs données  

Dans ISMS.online Rapport sur l’état de la sécurité de l’information 2024, qui a interrogé 502 entreprises britanniques dans divers secteurs, seulement 1 % des répondants ont déclaré que leur entreprise n'avait pas reçu d'amende pour une violation de données ou une violation des règles de protection des données au cours des 12 mois précédents. 76 % des organisations ont déclaré avoir reçu des amendes comprises entre 50,000 500,000 et 35 100,000 £, et plus d'un tiers (250,000 %) ont reçu des amendes comprises entre XNUMX XNUMX et XNUMX XNUMX £.   

Il est inquiétant de constater que ces faux pas constituent un problème à l’échelle mondiale : seulement 1 % des répondants australiens et aucun répondant américain ont déclaré que leur entreprise n’avait pas reçu d’amendes.  

L'impact des violations de données sur les entreprises ne peut être sous-estimé. coût moyen d'une violation de données Les revenus du secteur des services financiers ont atteint un sommet historique en 2024, à 4.88 millions de dollars, soit une augmentation de 10 % par rapport à 2023 et le total le plus élevé jamais enregistré. La confiance des clients et la réputation de la marque sont également fortement impactées : une étude de l'ISACA a révélé que 33 % des consommateurs déclarent avoir rompu tout lien avec une entreprise connue pour avoir subi une violation, et 36 % estiment que les entreprises sous-déclarent les violations, même si la loi l'exige.  

Les consommateurs exercent leurs droits en matière de confidentialité des données  

Alors que les organisations ont du mal à se conformer aux réglementations et à lutter contre les violations de données, les consommateurs sont de plus en plus préoccupés par la confidentialité de leurs données et par les organisations auxquelles ils communiquent leurs informations. les consommateurs étudient la réputation d'une entreprise en matière de confidentialité des données?  

• 67 % des consommateurs lisent les avis des autres consommateurs  

• 39 % des consommateurs lisent attentivement les politiques des entreprises  

• 35 % des consommateurs vérifient si l'entreprise a subi une violation de données  

• 31 % des consommateurs lisent les discussions sur les sites sociaux (par exemple Reddit)  

• 15% des consommateurs s'adressent aux associations.  

Plus des deux tiers (67 %) des consommateurs britanniques recherchent désormais des preuves sociales, comme les avis d'autres consommateurs sur des sites Web de confiance, avant de communiquer leurs données à une organisation. Parallèlement, 39 % déclarent lire attentivement les politiques des entreprises, ce qui est bien loin de l'époque où les acheteurs parcouraient négligemment les conditions générales pour cliquer sur « accepter » et passer à autre chose. 35 % déclarent vérifier si l'entreprise auprès de laquelle ils ont l'intention d'acheter a subi une violation de données.  

Les consommateurs au Royaume-Uni sont conscients de leurs droits en matière de confidentialité des données et les exercent.  

Ceux-ci sont les moyens les plus courants par lesquels les adultes britanniques exercent leurs droits en matière de confidentialité des données, selon Statista :  

• 70 % ont demandé à une organisation de cesser de leur envoyer du marketing par voie électronique  

• 31 % ont demandé à une organisation de cesser complètement d'utiliser leurs informations ou données personnelles  

• 31 % ont refusé de fournir leurs données biométriques à une organisation  

• 29 % ont demandé à une organisation de supprimer toute information ou donnée personnelle collectée à leur sujet.  

Comment les organisations peuvent améliorer leurs pratiques en matière de confidentialité des données  

La conformité de votre entreprise aux réglementations du RGPD est une obligation légale et une étape clé pour garantir la confidentialité des données. Cependant, pour établir et renforcer la confiance au sein de l'organisation, il est important d'envisager d'autres moyens de sécuriser les informations des clients au-delà des exigences de base définies dans la législation.   

Infographie : découvrez cinq étapes pour une meilleure confidentialité des données

Mettre en œuvre un système de gestion des informations de confidentialité avec la norme ISO 27701   

ISO 27701 est une norme internationale relative à la confidentialité des données et une extension de la norme de sécurité de l'information ISO 27001. Elle fournit un cadre permettant à votre organisation d'établir, de mettre en œuvre, de maintenir et d'améliorer en permanence un système de gestion des informations de confidentialité (PIMS) et de garantir une conformité continue et solide avec la législation sur la protection des données comme le RGPD. La norme ISO 27701 est disponible en tant que module complémentaire à une certification ISO 27001 existante.  

La norme établit les exigences pour la création d'un système de gestion des informations personnelles complet et guide les responsables du traitement des données dans le traitement des informations personnelles identifiables (PII). Dans le cadre de la mise en œuvre de la norme ISO 27701, vous :  

• Déterminez la législation et la réglementation en matière de confidentialité qui s'appliquent à votre entreprise  

• Déterminez la portée organisationnelle de votre PIMS  

• Établir un processus d’évaluation et de traitement des risques liés à la sécurité de la vie privée   

• Gérez la relation entre la sécurité de vos informations et la protection des PII  

• Envisagez et mettez en œuvre des contrôles pour protéger les informations personnelles identifiables que vous contrôlez ou traitez, par exemple :  

• Annexe A.7.2.1 – Identifier et documenter les finalités spécifiques pour lesquelles les informations personnelles identifiables seront traitées, par exemple pour traiter et livrer les commandes des clients, gérer les paiements et commercialiser des services  

• Annexe A.7.4.1 – Limiter la collecte de données personnelles identifiables au minimum pertinent, proportionnel et nécessaire aux fins identifiées  

• Annexe A.7.4.1 – Conserver les informations personnelles identifiables uniquement pendant la durée nécessaire aux fins pour lesquelles elles sont traitées, par exemple en établissant des périodes de conservation pour des types d’enregistrements spécifiques.  

De nombreux contrôles de votre PIMS s'appuieront sur les contrôles que vous avez mis en place dans votre système de gestion de la sécurité de l'information (SMSI) ISO 27001, tels que votre politique de contrôle d'accès, votre processus de sauvegarde des informations et votre classification des informations. Cela permet à votre organisation d'adopter une approche unifiée pour gérer les risques liés à la sécurité et à la confidentialité des informations, en réduisant le risque de violation des données et en démontrant votre engagement en matière de sécurité à vos clients et prospects.  

Établir des processus transparents de traitement des données  

La transparence dans les processus de traitement des données est nécessaire pour se conformer au RGPD, mais elle renforce également la confiance des consommateurs dans les mesures de sécurité de votre organisation. Un traitement des données légal, équitable et transparent comprend :  

• Identifier et documenter les finalités pour lesquelles les informations personnelles identifiables seront traitées, par exemple, la livraison de produits et de services, le traitement et la livraison de commandes ou le marketing et la promotion de services  

• Identifier et documenter la base juridique pertinente pour le traitement des données personnelles, comme le consentement issu des principes PII, l'exécution d'un contrat ou le respect d'une obligation légale  

• Limiter la collecte et le traitement des informations personnelles identifiables au minimum nécessaire à la tâche concernée pour se conformer aux principes de confidentialité par défaut et de confidentialité dès la conception  

• Mise en œuvre de processus de protection des dossiers, y compris le contrôle d’accès, la classification des informations et les périodes de conservation spécifiées.   

Les pratiques ci-dessus sont également nécessaires pour réussir la conformité et la certification ISO 27701.  

Formation et sensibilisation des employés  

Il est essentiel de former vos employés à protéger les informations personnelles que vous détenez et à les gérer de manière responsable. Envisagez de mettre en place un programme de formation et de sensibilisation des employés qui aborde l'importance de la sécurité des données. Vous devez également partager vos politiques de traitement et de gestion des données avec les employés concernés, par exemple ceux qui accèdent régulièrement aux informations personnelles que vous détenez dans le cadre de leurs fonctions quotidiennes.   

L'intégration est le moment idéal pour garantir qu'un nouvel employé est conscient de votre approche en matière de sécurité des données, et une formation de recyclage régulière permet de garder à l'esprit les responsabilités en matière de confidentialité des données.   

La protection des données personnelles est la responsabilité de tous  

Les consommateurs britanniques sont conscients du risque qu'ils courent en partageant leurs informations personnelles avec des organisations si une entreprise est victime d'une violation de données ou ne gère tout simplement pas correctement leurs informations. Cependant, en tant que consommateurs, nous pouvons également prendre des mesures simples pour protéger nos informations personnelles :   

• Une bonne hygiène des mots de passe, comme des mots de passe de 12 caractères ou plus, des chaînes de mots sans rapport, des chiffres et des caractères spéciaux  

• Utilisez uniquement des connexions Wi-Fi sécurisées et ne vous connectez pas à des réseaux Wi-Fi publics avec des mesures de sécurité limitées.  

• S'assurer que nous savons comment identifier une tentative potentielle de phishing par e-mail ou par SMS  

• Signalez les SMS suspects à Action Fraud en transmettant le message au 7726 afin qu'il puisse faire l'objet d'une enquête   

• Vérifier si une adresse e-mail a été compromise lors de violations de données précédentes à l'aide de Ai-je été appelé?, et en modifiant les mots de passe en conséquence.  

Alors que les entreprises mettent en place des mesures de confidentialité plus solides et plus robustes, telles que celles décrites dans la norme ISO 27701, et que les consommateurs prennent des mesures pour se protéger et protéger leurs données, nous pouvons adopter une approche unifiée de la protection des données, renforcer la sécurité des données et contrecarrer les efforts des acteurs malveillants.