La menace d’une action en justice du groupe GDPR hante les OSIC

Le spectre des règlements juridiques de groupe à la suite d’une grave violation de données hante 90% des responsables de la sécurité, tandis que 85% sont plus préoccupés par la menace d’amendes réglementaires, selon un rapport egress commandé à l’occasion du troisième anniversaire du Règlement général sur la protection des données (GDPR).

L’étude, menée par OnePoll, a interrogé 250 responsables de la sécurité et agents de protection des données (DMO) et 2 000 consommateurs. Elle a constaté que près de la moitié – 47 % – des consommateurs ont déclaré qu’ils envisageraient de se joindre à un recours collectif contre une organisation qui a divulgué leurs données personnelles, et 67 % étaient conscients de leur droit d’intenter des poursuites judiciaires en vertu du GDPR, ce qui donne à penser que ces préoccupations pourraient avoir une certaine base dans la réalité.

« Le coût financier d’une violation de données a toujours animé les discussions sur le GDPR et, au départ, on pensait que les lourdes amendes réglementaires feraient le plus de dégâts », a déclaré Tony Pepper, PDG d’Egress. « Mais les conséquences largement imprévues des recours collectifs et des litiges indépendants dominent maintenant la conversation.

« Les organisations peuvent contester les [Information Commissioner’s Office’s] l’intention d’amender pour réduire le prix, et au cours de la dernière année, l’OIC a fait preuve de clémence envers les entreprises touchées par la pandémie, comme British Airways, les laissant partir avec des amendes considérablement réduites qui ont été considérées par beaucoup comme une simple gifle sur le poignet. Les sujets de données ayant une grande conscience de leurs droits et de leurs poursuites susceptibles de devenir des « opt-out » pour les personnes touchées à l’avenir, les responsables de la sécurité ont raison d’être nerveux quant aux répercussions financières des litiges.

Lisa Forte, associée chez Red Goat Cyber Security, a ajouté : « Le plus grand risque financier après la violation ne s’ajoute plus aux amendes réglementaires qui pourraient être imposées. Les poursuites judiciaires sont maintenant monnaie courante et pourraient égaler la rédaction d’un chèque en blanc si vos données sont compromises.

« Les pays européens n’ont généralement pas souscrit à une manière litigiteuse de réglementer le comportement des entreprises. Cela change maintenant et sans intervention explicite du gouvernement, les entreprises devront accepter qu’elles ont besoin de poches plus profondes pour couvrir la ruée vers l’or que nous commençons à voir.

Forte a en outre noté que le Lloyd vs Google l’affaire – actuellement à la Cour suprême du Royaume-Uni – qui, en cas de succès, rendrait ces litiges collectifs « opt-out » plutôt que « opt-in ». Elle a dit que cela devrait être une « énorme préoccupation » pour les OSIC et les DMO. Une décision sur cette affaire est attendue plus tard en 2021.

Entre-temps, Egress a constaté que 91 % des responsables de la sécurité ont déclaré qu’ils se tournaient vers des fournisseurs d’assurance spécialisés pour les couvrir contre les cyber-incidents et les atteintes à la protection des données, ou qu’ils avaient déjà amélioré les polices existantes depuis l’entrée en vigueur du GDPR. Toutefois, Edina Csics, spécialiste gdpr et consultante en protection des données chez GIS-Consulting, basée en Belgique, a déclaré que cela ne suffisait pas en soi.

« Bien que la cyber-assurance puisse couvrir les dommages financiers causés par une violation de données, elle n’aidera pas à recouvrer les dommages causés à la réputation », a-t-elle déclaré. « J’espère que les 91 % de répondants qui ont modifié leurs polices de cyber-assurance en réponse au GDPR ont également envisagé de faire ce qu’il fallait en mettant en place des mesures plus sérieuses que la formation en matière de sécurité des employés et en assainir leurs technologies de sécurité librement mises en œuvre en plus de la sous-assurance cybernétiques et non pas au lieu de le faire. »

Néanmoins, et quelle que soit leur motivation, a déclaré Csics, il y avait beaucoup à être reconnaissant pour les dirigeants de la sécurité de prendre des mesures pour éviter les dommages à leurs entreprises, parce que leurs actions étaient susceptibles de jouer en faveur des consommateurs et la protection globale des données.

Elle a ajouté : « Cela dit, en examinant les activités passées de l’OIC et ses habitudes d’application de la loi, je suis encline à comprendre pourquoi les responsables de la sécurité sont plus préoccupés par les actions de ceux qui sont directement touchés – les sujets de données dont les données personnelles sont soumises à leurs mesures de sécurité pas tout à fait étanches – et les militants de la protection des données qui ont une volonté encore plus grande de prouver qu’il y a plus que les organisations peuvent faire pour protéger les données personnelles. »