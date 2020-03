En 2019, pas moins de 861 fuites de données ont été signalées à l’Autorité de surveillance. Le nombre de notifications a doublé en un an. Et on est sans doute en dessous de la réalité. Actuellement, nombre de ces notifications ne font l’objet d’aucun suivi concret.

On vous a volé votre ordinateur d’entreprise dans le train? Une base de données concernant votre clientèle n’était pas protégée sur le web. Ou une cyberattaque a paralysé les systèmes informatiques de votre société?

Depuis le 25 mai 2018, date de l’entrée en vigueur du Règlement général sur la protection des données (RGPD), les entreprises doivent se montrer beaucoup plus rigoureuses dans la gestion des données à caractère personnel qu’elles ont leur possession. Le RGPD leur impose en effet de signaler toute fuite de données à l’autorité compétente dans les 72 heures suivant sa découverte. Dans notre pays, il s’agit de l’Autorité de protection des données (APD).

861 notifications Il est probable que les 861 notifications belges ne soient que le sommet de l’iceberg.

2019 est la première année complète depuis l’instauration de cette obligation de notification. L’an dernier, l’APD a reçu 861 notifications, soit près du double par rapport à 2018 (445 signalements). Cette progression n’a rien d’illogique. Non seulement parce que la période de référence est plus longue, mais aussi parce que les entreprises sont devenues plus sensibles à cette problématique, souligne David Stevens, président de l’APD. "La prise de conscience s’accroît".

Pays voisins

Le nombre de notifications reste cependant modeste par rapport au volume de signalements enregistrés dans les pays voisins. Ainsi, aux Pays-Bas, l’autorité compétente avait déjà reçu quelque 20.000 notifications en 2018. Outre-Moerdijk, les entreprises sont davantage enclines à collaborer avec les autorités pour évaluer la gravité de la perte de données qu’elles ont subie. "Aux Pays-Bas, l’obligation de notification existait déjà avant l’entrée en vigueur de la directive européenne sur la protection des données", fait remarquer Filip Van Elsen, juriste et responsable du département informatique du cabinet d’avocats Allen & Overy. "Le pays possède même des algorithmes d’analyse des cas."

Il est probable que les 861 notifications belges ne soient que le sommet de l’iceberg. Le nouveau comité de direction de l’APD n’a été mis en place qu’en avril 2019 en raison d’un problème communautaire. "L’époque du ‘sit back & relax’ est passée", avait déclaré alors David Stevens. La première amende "RGPD" est tombée en juin. Et à l’automne dernier, l’autorité de surveillance présentait son plan stratégique. "L’APD était encore en phase de rodage l’an dernier; il lui fallait rédiger des avis, lancer les contrôles et prononcer des amendes", remarque encore Filip Van Elsen.

Amendes

Nous ne voulons pas que les entreprises qui ont le courage de notifier des incidents courent un risque plus élevé de subir une sanction. David Stevens président de l'APD

Les entreprises signalent une fuite de données parce qu’elles craignent ces contrôles ou des amendes si elles ne le font pas. "Les entreprises assurent ainsi leurs arrières", souligne Filip Van Elsen. Cette amende peut s’élever jusqu’à quatre pour-cent du chiffre d’affaires mondial de l’entreprise concernée.

Les experts font valoir qu’il n’est pas toujours évident pour les entreprises de signaler une fuite de données. "Ainsi, le département IT n’a pas toujours la certitude dans le délai de 72 heures que les données des personnes concernées sont effectivement exposées à un danger", explique Matthias Vierstraete, avocat chez Deloitte Legal et expert en la matière. Ne fut-ce que parce que les entreprises recourent de plus en plus souvent à des sous-traitants ou sont confrontées à une cyberattaque chaotique.