premium 1
premium 1 mobile
Homme qui court dans un immeuble

Cybersécurité : un chantier urgent pour les acteurs de la com'

Le 23 mai 2017

Dans un an, entrera en vigueur un règlement européen visant à améliorer la transparence sur la protection des données personnelles. En quoi cette réglementation représente un véritable tournant pour les métiers de la communication et pourquoi il faut s'y préparer dès maintenant ?

WannaCry, le ransomware qui s’est déployé vendredi 12 mai et qui a fait plus de 200 000 victimes dans au moins 150 pays, nous a fait changer de dimension. Pour Fabrice Epelboin, fondateur de Yogosha, une startup spécialisée dans la cybersécurité et enseignant à Sciences Po Paris, « c'est le moment où des petits voyous, plutôt que d'attaquer un fourgon blindé à l'AK47, se sont emparés d'un outil nucléaire » en exploitant une faille Windows qui avait été, d’après Microsoft, secrètement gardée par la NSA. « Cela annonce, ajoute-t-il, le moment où il faut vraiment prendre en compte la cybersécurité au sérieux. »

D'autant plus au sérieux que l'Union européenne s'apprête à punir lourdement les entreprises qui ne respecteraient pas un minimum d'hygiène informatique.

En mai 2018, entrera en vigueur le Règlement général sur la protection des données (GDPR), qui vise à améliorer la transparence sur la protection des données personnelles. Cela vous paraît loin ? Nombre d'entreprises semblent n'avoir pas pris la mesure d'un tel bouleversement.

Une sanction pouvant aller jusqu'à 4% du CA annuel

Cette réglementation s'appliquera à toute entreprise, association, administration, collectivité locale ou syndicat d'entreprise basé dans l’Union européenne qui collecte, traite et stocke des données personnelles.* Ils devront s'assurer du consentement de la personne concernée, laquelle devra être informée de toute perte ou vol de ses données. En France, c’est la Cnil qui veillera au bon respect du GDPR et c’est elle qu’il faudra alerter, rapidement, en cas de problème.

Les acteurs économiques devront veiller à ce que l’accès aux données collectées soit rendu possible sur simple demande du prospect. Le client sera alors en droit de réclamer la restitution de ses données, leur modification, voire leur suppression. A tout moment, une entreprise devra être en capacité de prouver que tout est mis en œuvre pour assurer la protection des données de ses clients. Si elle ne répond pas aux obligations de la nouvelle réglementation, elle peut se voir infliger une sanction économique extrêmement lourde, pouvant aller jusqu'à 4% du chiffre d'affaires annuel.

Métiers de la com' : vous êtes les premiers concernés !

Quels changements, cette réglementation, implique-t-elle pour les entreprises évoluant dans le secteur de la communication, du marketing et de la publicité ?

En premier lieu, « un partage des responsabilités », explique Fabrice Epelboin qui cite l'exemple suivant : « Je m'appelle Renault et je commande à mon agence un site sur la dernière voiture de la marque. Si un hacker parvient à en exfiltrer les données personnelles de ses utilisateurs, la responsabilité sera partagée entre Renault et l'agence de communication. » Autrement dit, Renault serait en droit de demander à Publicis de payer une partie de son amende.

Obligées d'alerter leurs clients au moindre couac, les entreprises risquent également gros en matière d'image de marque. Pour rester dans le domaine automobile, « si demain une agence fait un site pour la nouvelle Fiat et que des données sont volées... alors, Fiat sera obligée de contacter chacun des prospects, en leur expliquant ce qu'il s'est passé, en s'excusant et en donnant un moyen d'y remédier », détaille Fabrice Epelboin. Plus grave encore : « l'agence qui a programmé le site pour Fiat ne retrouvera plus jamais un client, car plus personne ne voudra prendre le risque de travailler avec elle. »

Injonction paradoxale

Se pose alors la question de la nature des campagnes de communication qui seront menées dans le futur.

« Les créatifs vont être impactés dans leur travail, analyse Fabrice Epelboin. Ils devront intégrer le niveau de risque qu’ils font prendre au client avec une idée. » « Le problème, ajoute-t-il, est que cela va à l'encontre de la transformation digitale que nous connaissons. Puisque celle-ci consiste justement à récupérer les données personnelles des clients de façon à personnaliser une offre. C'est une injonction paradoxale. »

Mais ce qui inquiète par-dessus tout l'expert en cybersécurité, c'est l'impréparation des acteurs de la communication : « Je n'ai, pour l'instant, pas encore croisé quelqu'un qui se sente concerné. » D'après une étude du cabinet Gartner publiée le 3 mai 2017, plus de la moitié des entreprises concernées par le GDPR ne seraient pas prêtes. De l'autre côté, l'Europe manque, selon Fabrice Epelboin, cruellement de ressources en matière de cybersécurité : « Pour quatre offres d'emploi, il y a un candidat. Autant vous dire qu'il ne va pas aller en agence de com’... »

Développer une culture de la cybersécurité

La crainte, alors, est de voir des entreprises mal préparées, mal informées ou simplement trop inconscientes subir de plein fouet les nouvelles règles du jeu. Reste à savoir si elles disposent d'encore assez de temps pour s'adapter.

Si Fabrice Epelboin juge trop ambitieux, vu le retard accumulé, l'objectif d'être « prêt » pour dans un an, il espère néanmoins une prise de conscience. « Il faut développer une vraie culture en matière de cybersécurité dans les agences de com', de façon à comprendre ce qu'il se passe. Ça n'est pas la même ambition, mais c'est déjà un sacré travail. » Alors, au boulot ?

* Seront également concernées les entreprises hors de l’UE dès lors qu’elles collectent, traitent ou stockent des données issues de citoyens de l’UE.

Commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.