Le véritable coût de la non-conformité

Un climat réglementaire plus strict

La multiplication des données s’accompagne d’une intensification des règles relatives à la collecte, à l’utilisation et à la protection des informations personnelles et sensibles d’autrui.

Au cours des dernières années, l’adoption de lois sur la confidentialité des données s’est accélérée dans le monde entier. Dès 2020, les analystes de Gartner estiment que d’ici 2023, 65 % de la population mondiale verrait ses données personnelles couvertes par des réglementations modernes en matière de protection de la vie privée – une prédiction qui devrait se réaliser.  

Ces efforts ont commencé par des mesures ponctuelles notables, comme le RGPD en Europe, mais tous les quelques mois, une nouvelle loi est mise en place, chacune avec des exigences, des niveaux d’application et des amendes et sanctions spécifiques différents. 

• Aux États-Unis, près de 30 États disposent d’une quelconque loi sur la protection de la vie privée ou sont en train d’en débattre et de l’adopter. La Californie a mis en œuvre l’une des premières règles de confidentialité des données, et elle reste la loi d’État la plus stricte en vigueur.  La loi californienne de 2018 sur la protection des consommateurs impose des obligations strictes en matière de collecte et de vente d’informations personnelles, et des amendements récents vont encore plus loin.  À partir de 2023, la Californie sera le premier État à étendre les règles de confidentialité des données aux données RH, entre autres nouvelles réglementations.

Début 2022, les législateurs fédéraux américains ont commencé à travailler sur l’American Data Privacy and Protection Act (ADPPA), communément considéré comme une version américaine du RGPD de l’Europe. Cette loi se heurte déjà à une forte opposition de la part de nombreux défenseurs de la vie privée qui plaident pour une application plus stricte. Que le projet de loi soit adopté ou non, il servira très probablement de modèle pour les efforts futurs.

• Les législateurs canadiens poursuivent leur travail aux niveaux fédéral et provincial.  La loi de 2022 sur la mise en œuvre de la Charte numérique clarifie la loi sur la conformité à la LPRPDE, qui existe depuis longtemps dans le pays, en renforçant les règles relatives au consentement et à la transparence. L’objectif déclaré des législateurs canadiens est de faire en sorte que les normes fédérales correspondent aux règles européennes du RGPD, avec un droit d’accès similaire mais sans le « droit à l’effacement » européen et d’autres dispositions.  

Les législateurs québécois ont également adopté un projet de loi 25 sévère qui a élargi la portée des protections fédérales, y compris le droit à l’oubli et les évaluations annuelles obligatoires des facteurs relatifs à la vie privée.

La complexité et la nature complémentaire de la nouvelle législation peuvent rendre la conformité encore plus difficile.  Les cadres et les lois qui s’appliquent dépendent de nombreux facteurs, notamment de la manière dont une entreprise opère et de l’endroit où elle se trouve, des clients qu’elle sert, du nombre d’actifs sous gestion, etc.  

Des mises en garde coûteuses sont partout

À mesure que le climat réglementaire se durcit, il devient impératif de prendre la conformité au sérieux. Pour les entreprises qui hésitent à prendre des mesures, le Ponemon Institute indique que le coût moyen de la conformité (5,47 millions de dollars) est nettement inférieur au coût de la non-conformité (14,82 millions de dollars). Selon IBM, le coût de la non-conformité continue également à augmenter d’une année sur l’autre, avec une hausse de 45 % par rapport à il y a 10 ans et de 12,6 % par rapport à il y a deux ans. 

Le coût total de la non-conformité, tel que calculé par Ponemon, comprend une combinaison d’amendes, de pénalités et de frais, ainsi que les coûts indirects liés à l’interruption des activités, à la perte de revenus, à la perte de productivité et à l’atteinte à la réputation.

Les histoires coûteuses de manquements à la conformité sont partout. Presque chaque mois, les gros titres font état d’un autre événement majeur lié à la conformité et de ses conséquences:

• En 2021, JP Morgan s’est vu infliger une amende de 125 millions de dollars pour des manquements aux contrôles de conformité, principalement centrés sur une mauvaise tenue des dossiers et un manque de contrôles autour de l’utilisation des appareils personnels. 
• En 2022, Morgan Stanley s’est vu infliger une amende totale de 60 millions de dollars pour des violations de la confidentialité des données survenues en 2016 et 2019, réglant à la fois des amendes civiles et un recours collectif concernant des équipements de centres de données mis hors service qui n’avaient pas été correctement effacés.

Enfin, ce n’est pas seulement la posture de sécurité actuelle qui entraîne des pénalités, mais aussi le comportement de conformité antérieur. 

Dans une affaire canadienne, Ari c. Insurance Corporation of British Columbia, il a été jugé que des dommages-intérêts punitifs étaient appropriés lorsque les entreprises n’avaient pas tiré les leçons de violations antérieures. Cela signifie qu’un seul événement de conformité peut entraîner des sanctions immédiates et potentiellement des amendes plus importantes à la suite d’un événement ultérieur, selon la façon dont l’entreprise réagit.

Calculer les coûts cachés de la non-conformité 

En cas de non-conformité, les régulateurs ne seront pas les seuls à faire grimper les coûts. De nombreux coûts indirects entrent en ligne de compte dans les pertes de revenus et les coûts d’opportunité :

• L’interruption des activités : Le temps passé à se remettre d’une violation est du temps passé à ne pas faire avancer votre entreprise.  La non-conformité entraîne également des perturbations en raison du temps perdu à se préparer frénétiquement à un audit ou à d’autres évaluations, souvent par des membres clés du personnel.
• Atteinte à la réputation : Les consommateurs et les entreprises sont de plus en plus préoccupés par la façon dont les entreprises gèrent les données sensibles, et la non-conformité peut avoir un effet corrosif sur cette confiance.  Le rapport 2021 de Ponemon et IBM sur le coût des violations de données montre qu’environ 32 % des pertes dues à la non-conformité résultent de problèmes de réputation, y compris la perte d’activité, la réduction de la bonne volonté et le coût d’acquisition de nouveaux clients.
• Perte de revenus : Outre les pertes directes dues à l’interruption des activités, la non-conformité peut également avoir un impact sur les revenus futurs.  L’attention portée à la chaîne d’approvisionnement et aux risques liés aux « tiers » signifie que les clients prennent la conformité très au sérieux, et votre inaction peut vous empêcher de conclure des marchés ou vous faire rayer des listes de fournisseurs fiables.
• Poursuites judiciaires : Outre les amendes réglementaires, les entreprises peuvent être confrontées à des poursuites coûteuses et très médiatisées de la part des utilisateurs et des clients concernés.  Capital One a réglé un recours collectif de 190 millions de dollars à la suite d’une violation en 2019 pour n’avoir pas protégé les données des utilisateurs, en plus des 50 millions de dollars versés aux autorités de réglementation pour le même incident.

Devenir proactif : le plus tôt sera le mieux

À mesure que les menaces évoluent et que les régulateurs réagissent, l’environnement de conformité va continuer à se resserrer, et le coût de l’inaction va continuer à augmenter. Qohash a été conçu pour fournir les éléments fondamentaux nécessaires pour répondre aux exigences réglementaires en matière de confidentialité des données en Amérique du Nord. 

Vous voulez en savoir plus ? Découvrez comment un gestionnaire de fonds a exploité Recon pour répondre aux exigences réglementaires de type RGPD ici.  

Évaluez votre environnement

Comprenez les réglementations auxquelles vous serez soumis. 

• Quelles réglementations ont un impact sur les opérations ?
• Où les cadres de conformité se chevauchent-ils ?  Où diffèrent-ils ?

Cela vous aide à comprendre pleinement les règles qui dictent les règles de protection des données et les contrôles qui doivent être mis en place.

Analyser et hiérarchiser les informations sensibles

Avant d’exécuter un outil de classification des données qui peut automatiquement trier les types de données à travers vos systèmes d’entreprise – dans le cloud et sur site – par réglementation, configurez votre outil en conséquence. Décider quelles informations seront réglementées dépend de votre stratégie de classification des données. 

Avec des règles de classification en place, Recon permet une analyse automatisée de bout en bout de votre environnement de données, en découvrant les informations sensibles et en recueillant le contexte critique de la classification. Cela vous permet d’avoir une vue d’ensemble de l’emplacement des éléments de données sensibles à tout moment, et les éléments de données étiquetés vous donnent plusieurs façons d’analyser les éléments de données, y compris :

• Vue des éléments de données (numéro de passeport, numéro de carte de crédit).
• Cadre directeur (par exemple, PCI ou RGPD)

Conçu pour une confidentialité des données automatisée et proactive

Une découverte robuste des données sert de base aux analyses automatisées et à la détection et l’atténuation continues des risques. En outre, un inventaire complet des données est fondamental pour mettre en place et démontrer des contrôles de conformité plus solides, quelle que soit l’évolution des règles.

Alors que le coût de la non-conformité continue d’augmenter, il n’a jamais été aussi important de bien faire les choses. Votre entreprise, votre marque, vos résultats financiers, si vous n’agissez pas, tout est en danger.