Les entreprises sont confrontées à un labyrinthe de confidentialité des données et à un déficit de compétences

La demande commerciale de professionnels de la confidentialité des données devrait prendre de l’ampleur au cours de l’année à venir au milieu d’un patchwork croissant de règles aux États-Unis et à l’étranger qui, dans certains cas, imposent des sanctions sévères aux contrevenants.

Dans un récent sondage, 62 % des experts en confidentialité des données prévoyaient une augmentation cette année du besoin de compétences juridiques ou de conformité liées à la confidentialité, tandis que 69 % anticipaient une demande accrue d’expertise sur le plan technique.

L’étude, menée par ISACA, une association axée sur la gouvernance des technologies de l’information, a également révélé que la confidentialité des données est encore largement en sous-effectif et que certaines entreprises se démènent pour rattraper leur retard.

« Je pense que les organisations commencent à voir que cela peut être très grave pour leurs résultats s’ils ne se conforment pas aux lois et réglementations sur la confidentialité », a déclaré Safia Kazi, responsable des pratiques professionnelles de confidentialité à l’ISACA, dans une interview.

Les directeurs financiers, en raison de leur expérience du risque, peuvent être particulièrement efficaces lorsqu’ils sont associés à des professionnels de la protection de la vie privée, a-t-elle déclaré.

Les entreprises qui opèrent à l’international sont confrontées à un réseau de réglementations liées à la confidentialité et à la sécurité des données à travers le monde, ce qui peut entraîner des problèmes juridiques potentiels pour les dirigeants d’entreprise. La situation ne devrait qu’empirer.

Aux États-Unis en particulier, les entreprises devront cette année se conformer à une multitude de nouvelles lois sur la protection de la vie privée au niveau de l’État. Depuis le 1er janvier, deux de ces lois sont entrées en vigueur : la California Privacy Rights Act, qui a étendu la California Consumer Privacy Act, et la Virginia Consumer Data Protection Act. Plus tard cette année, trois nouvelles lois supplémentaires sur la confidentialité entreront en vigueur dans le Colorado, le Connecticut et l’Utah.

« Soudain, l’impact de la vie privée aux États-Unis a considérablement augmenté », Ojas Rege, vice-président senior de fournisseur de logiciels de confidentialité et de sécurité One Trust, dit CFO Dive. « Ce sera l’année de la vie privée aux États-Unis. »

Les nouvelles lois radicales sur la protection de la vie privée ont un impact sur un large éventail d’entreprises qui collectent ou utilisent des informations personnelles sur des personnes résidant dans les États respectifs et imposent des exigences nouvelles et complexes, selon une alerte du 4 janvier publiée par le cabinet d’avocats Wiley Rein LLP.

« Alors que les entreprises ont investi des ressources importantes dans la mise à jour des protocoles et des avis de confidentialité pour respecter la date d’entrée en vigueur du 1er janvier 2023 pour la Californie et la Virginie, il reste encore du travail à faire pour s’assurer que les entreprises couvertes sont prêtes pour les obligations de conformité en matière de confidentialité de 2023 », le dit l’alerte.

Quarante-deux pour cent des Répondants ISACA ont déclaré que leur budget de confidentialité d’entreprise était « quelque peu ou significativement » sous-financé, contre 45% en 2022 et 49% en 2021.

L’association, qui est composée de plus de 165 000 professionnels travaillant dans des domaines liés à l’informatique, a envoyé des invitations à des sondages au cours du quatrième trimestre de l’année dernière à environ 46 000 de ses membres, principalement des praticiens de la confidentialité et de la sécurité des données. Au total, 1 890 répondants ont répondu au sondage.

Alors que de nombreux dirigeants d’entreprise réfléchissent aux retombées potentielles des violations de la sécurité des données – qui font souvent la une des journaux – il reste encore des lacunes importantes à combler en ce qui concerne les obligations plus larges en matière de confidentialité des données qui entrent rapidement en vigueur, selon Kazi.

« Il est possible d’avoir une bonne sécurité en place mais de ne pas très bien respecter la confidentialité », a-t-elle déclaré. « La confidentialité aborde également des problèmes tels que la manière dont vous collectez les données et la manière dont vous les communiquez aux consommateurs. »

En octobre, l’Autorité française de protection des données a infligé une amende de 20 millions d’euros à la société américaine de reconnaissance faciale Clearview AI pour non-respect des exigences du règlement général de l’UE sur la protection des données, entré en vigueur en 2018.

La société a fait l’objet d’un examen minutieux après des rapports selon lesquels elle avait compilé, sans le consentement légal des personnes concernées, jusqu’à 20 milliards d’images faciales provenant de sites Web et de plateformes de médias sociaux accessibles au public dans une base de données massive qui a été rendue accessible aux clients, y compris les forces de l’ordre.

L’amende, qui était le maximum autorisé par la loi, a été infligée après un avertissement formel préalable de la France. Les pratiques de traitement des données de l’entreprise ont également été examinées dans d’autres juridictions, notamment au Canada, au Royaume-Uni et en Australie. En plus d’être condamnée à une amende, l’entreprise a été sommée de modifier ses pratiques.

Outre les amendes, les atteintes à la vie privée peuvent avoir d’autres conséquences importantes, notamment des risques pour la réputation, selon le rapport de l’ISACA.

« Le nombre de lois et de réglementations sur la protection de la vie privée ne fera qu’augmenter dans les années à venir, et faire la une des journaux pour une violation de la vie privée peut nuire à la confiance des consommateurs », indique le rapport.