GDPR et mobilité, 3 scénarios cauchemars pour 2018

 

À l’heure du GDPR, un smartphone compromis peut entrainer des risques majeurs pour la protection des données personnelles. Voici 3 scénarios à éviter…

 

Égarer son smartphone, envoyer des données professionnelles sensibles depuis un mobile personnel peu sécurisé, installer une app mobile sans trop se soucier de la source… Avant le GDPR (General Data Protection Regulation ou RGPD pour Règlement Général sur la Protection des Données), ces comportements dans un contexte professionnel pouvaient déjà s’avérer préjudiciables. Avec le GDPR, les entreprises doivent être d’autant plus attentives que les sanctions se sont considérablement alourdies.
 

Avec ce règlement, les entreprises passent pour la gestion des données personnelles d’un régime de la déclaration à un régime de responsabilisation et de contrôle. Avec, à la clé, des amendes administratives potentiellement lourdes. Résultat, des scénarios auparavant anodins impliquant terminaux mobiles et apps créent à l’heure du GDPR des risques élevés pour l’entreprise. Trois exemples fictifs mais… réalistes.

 

Scénario #1 : Réveil matinal et mobile perdu

 

Un réveil très matinal pour prendre un avion et se rendre à l’autre bout de la France afin de rendre visite à un client. C’est ainsi que Jean, directeur commercial d’une société de logistique, a rejoint les 60 % de Français qui ont déjà perdu au moins une fois leur téléphone. Dans le cas de Jean, le mobile est probablement resté sur le siège d’un taxi. Et malgré les coups de fil passés à la compagnie dans l’heure qui a suivi, les chances de remettre la main sur le smartphone sont faibles.
 

Problème : ce smartphone n’est pas seulement un compagnon personnel, mais aussi un outil professionnel sur lequel se trouvent des informations clients sensibles. Les noms et coordonnées de ses interlocuteurs et aussi quelques informations personnelles les concernant pour les traiter au mieux. Des données commerciales aussi : montants des derniers contrats, types de produits transportés pour ses clients, volumes, régions couvertes pour faire la différence avec des concurrents…
 

Que préconise le GDPR dans un tel cas ? En amont, le risque doit être clairement identifié, soupesé et des mesures prises en conséquence pour sécuriser ces données (par exemple en recourant à du chiffrement). L’idéal étant aussi d’avoir documenté une procédure et prévu des mesures techniques en cas d’incident, par exemple pour permettre l’effacement des données stockées sur un mobile perdu. À l’heure du GDPR, face à un tel scénario, chaque entreprise doit être en mesure de démontrer que l’impact a été évalué et des mesures adéquates appliquées.
 

Scénario #2 : Méli-mélo entre environnement pro et perso
 

L’email de trop. Aurélie, responsable de la communication événementielle d’un grand groupe, va longtemps se souvenir de ce clic de trop sur le bouton « Envoyer ». Parce qu’elle est souvent dans les transports, Aurélie utilise plus souvent son mobile que son PC pour répondre à ses mails. Voilà pourquoi elle n’a pas hésité quand l’un de ses interlocuteurs lui a demandé la dernière liste des inscrits à leur événement annuel. Le temps de joindre un fichier à un mail, et la demande était satisfaite.

Sauf que, dans la précipitation, le mail n’a pas été envoyé depuis son adresse professionnelle, mais depuis un compte personnel saturé par les mails promotionnels et les spams. Un compte compromis depuis bien longtemps. Les personnes inscrites dans le fichier n’ont pas tardé à être spammées par mail, mais aussi par SMS, et parfois au nom d’Aurélie… Logique : le fichier mentionnait l’identité ainsi que les coordonnées complètes des intéressés, y compris des détails plus personnels (goûts alimentaires) pour personnaliser leur accueil…

Là encore, dans le contexte du GDPR, un fichier aussi sensible doit nécessairement faire l’objet d’une analyse des risques. Objectif : identifier qui a le droit de l’éditer, de le lire, et surtout préciser ses modalités de partage. Ce scénario révèle aussi une faille plus globale, puisqu’il a été possible d’envoyer un fichier sensible professionnel depuis un compte mail personnel. Ce que les règles de sécurité de l’entreprise, explicitées notamment au travers de sa charte informatique, devraient rendent impossible, tout particulièrement depuis un smartphone.

 

Scénario #3 : Une app pas si ludique pour passer le temps

 

« Pas vraiment fun, cette app. » C’est la pensée qui a traversé l’esprit de Léo, technicien climatisation, alors qu’il attendait un client devant le domicile de ce dernier. Pour patienter, il n’a pas résisté à cette nouvelle app qui promettait les meilleurs casse-têtes de l’année.

Son erreur lui est apparue bien plus tard, une fois son smartphone confié à son service informatique. « Il est devenu lent », se plaignait-il. Le verdict est tombé rapidement : aucun souci matériel, en revanche, la fameuse app n’était pas seulement un jeu, mais aussi une application malicieuse, un véritable aspirateur à données en l’occurrence…

Difficile d’évaluer les dommages, mais Léo stocke sur son mobile de nombreuses informations telles que les coordonnées complètes des clients, les digicodes pour accéder aux immeubles… L’incident est suffisamment sérieux pour que, comme le stipule le GDPR, l’incident soit déclaré à la Cnil dans les 72 heures. En outre, si le risque est jugé majeur pour les principaux intéressés, eux aussi devront être avertis.

L’image de l’entreprise en pâtira forcément. Là encore, une analyse d’impact rigoureuse aurait conduit à sécuriser l’environnement mobile professionnel pour éviter par exemple l’installation d’applications douteuses.

 

Solution : Sécuriser les environnements mobiles de bout en bout

 

Ces 3 scénarios l’illustrent, chacun à leur manière : les études d’impact menées par les entreprises dans le contexte du GDPR vont les conduire bien souvent à sécuriser leurs environnements mobiles de bout en bout.
 

Avec trois objectifs :

1) Ne pas collecter plus de données personnelles qu’elles n’en ont réellement besoin – principe dit de « minimisation » ;

2) Mettre en œuvre toutes les solutions requises (outils technologiques et mesures organisationnelles) pour assurer un haut niveau de sécurité et faire face aux risques ;

3) Se mettre en mesure de démontrer leur capacité à protéger les données – principe dit « d’accountability ».
 

Avec quel retour sur investissement ? Il est toujours possible de l’évaluer au regard des pénalités prévues par le GDPR (10 à 20 millions d’euros ou 2 à 4 % du chiffres d’affaires mondial). Ou bien de considérer que cet investissement contribue aussi directement à la marque. Car se montrer proactif et novateur en matière de protection des données personnelles s’impose en 2018 comme le marqueur fort d’une entreprise responsable.


Rédigé par L'équipe Samsung Business 


 

Vous avez un projet ?

Laissez-nous vous aider à trouver la solution idéale pour votre activité.
Contactez-nous via notre formulaire.