Quels sont les risques de travailler avec des données non anonymisées ?

Romain Alberca

Le 21ème siècle est définitivement celui de la donnée. Sa valeur n’est plus à démontrer. On l’appelle d’ailleurs le nouvel or noir. Et c’est un fait, toute entreprise s’ingénie à en tirer le maximum de profit.

C’est la raison pour laquelle les institutions se dotent d’environnements de production très sécurisés pour la protéger. Mais la donnée est également utilisée en dehors de ces environnements (à des fins d’archivage, de formation de nouveaux collaborateurs, de Business Intelligence pour les services Marketing, de développement de logiciels ou encore à destination de sous-traitants), l’exposant à des risques multiples.

Le premier risque est bien sûr celui de la fuite de données confidentielles qui, comme l’explique cet article, représente la principale menace dans le domaine de la cybersécurité.

Face à ces enjeux, l’anonymisation des données reste la protection la plus efficace, transformant la donnée de manière irréversible, tout en conservant sa cohérence et son exploitabilité.

Mais certaines entreprises peuvent parfois être tentées d’aborder la protection des données au travers de la gestion du risque, en l’évaluant et en le hiérarchisant.

Le risque assumé concernant la protection des données personnelles et identifiantes n’est clairement pas une option tant les conséquences en termes d’image, de perte de business mais aussi et surtout en termes de sanctions financières sont importantes depuis la mise en place du RGPD.

Il en est de même pour la mitigation ou atténuation du risque. Réduire la potentialité reviendrait à ne plus utiliser de données en dehors de l’environnement de production, et c’est aujourd’hui impossible si l’on veut conserver un avantage concurrentiel.

Reste alors l’option de délégation du risque, qui consisterait à confier la protection de ses données à un prestataire. Cette option n’est plus possible non plus depuis l’avènement du RGPD. En effet, si une fuite de données était avérée chez le prestataire, le règlement stipule que la responsabilité de la fuite serait partagée entre le client et le prestataire.

D’ailleurs, les prestataires ne sont plus prêts à accepter cette gestion du risque, non conforme et extrêmement risquée, tant d’un point de vue financier que de perte d’image. Ils imposent donc aujourd’hui l’anonymisation des données qui leur sont confiées. On ne parle plus dans ce cas de délégation mais d’annulation du risque.

Au-delà des risques de pertes financières conséquentes et de perte d’image, le choix assumé d’une entreprise de ne pas protéger ses données peut fortement impacter son bon développement.

Prenons l’exemple d’une société qui souhaite ouvrir son capital à de potentiels futurs investisseurs. Ces derniers souhaiteront certainement réaliser un audit d’acquisition au préalable, qui concernera différents aspects de l’entreprise, et notamment l’analyse du SI. Dans ce cas, le non-respect de la protection des données personnelles s’avèrera à coup sûr un élément pénalisant.

Il en va de même lorsqu’une entreprise souhaite obtenir une certification de type ISO (International Organization for Standardization), et tout particulièrement les normes 27000, relatives à la sécurité de l’information. En effet, depuis 2022, la norme a été approfondie avec de nombreuses notions provenant du RGPD, dont la protection des données via l’anonymisation.

Plus impactant encore, le non-respect des règles peut entraîner des répercussions commerciales significatives.

Lorsque des clients entament une démarche de mise en conformité de la protection de données, ils auditent leurs fournisseurs pour vérifier si ces derniers sont également en conformité. Si ce n’est pas le cas, ils se tourneront vers d’autres prestataires. Dans ce cas, l’impact sur le business, même historique, peut s’avérer conséquent.

Une non-conformité peut également entraîner une perte de marché dans le cas d’un appel d’offres. Dans le cadre d’un marché public, le pouvoir adjudicateur devra s’assurer que le sous-traitant respecte les règlements en matière de protection des données. Dans le cas contraire, il choisira un sous-traitant plus vertueux.

Les risques de conformité sont eux-aussi régulièrement sous-estimés.

Toute organisation se doit d’être en mesure de traiter une demande de droit à l’oubli, qu’elle provienne d’un employé, d’un prospect ou même d’un client. Selon l’un de nos récents sondages, 28% des personnes interrogées ont déjà demandé à une entreprise d’appliquer leur droit à l’oubli, ou droit à l’effacement.

Si une organisation n’est pas en mesure de répondre positivement à ces demandes, le demandeur peut saisir la CNIL (Commission Nationale de l’Informatique et des Libertés) qui auditera et sanctionnera l’organisation si elle n’est pas en mesure d’appliquer ce droit.

D’ailleurs, la CNIL procède de plus en plus régulièrement à des contrôles inopinés. Si ces contrôles étaient peu fréquents il y a encore quelques années, la CNIL considère aujourd’hui que les entreprises ont largement eu le temps de se conformer au RGPD, depuis sa mise en place en 2018.

Si une infraction aux règles de protection des données personnelles est avérée, les conséquences peuvent s’avérer désastreuses pour l’organisation. On pense bien évidemment aux amendes (jusqu’à 4% du CA ou 20 M €) et à la perte d’image, mais il existe un risque potentiellement plus dramatique encore : l’interdiction administrative de la mise en œuvre des traitements non conformes. Dans certains cas, cela peut entraîner la suspension, voire la fin de l’activité de l’entreprise si elle repose sur ces traitements.

Toute entreprise qui déciderait de ne pas se conformer aux réglementations relatives à la protection des données personnelles s’exposerait aujourd’hui à des risques considérables. Qu’ils soient d’ordre financier, d’image, de perte de business ou de risque de suspension d’activité.

Cependant, cette mise en conformité, bien qu’elle soit parfois vécue comme une véritable contrainte, s’avère au final vertueuse pour les entreprises, puisqu’elle renforce la confiance auprès de l’ensemble de son écosystème, que ce soient les salariés, clients, ou sous-traitants.