Astreinte de crise 24h/24 7j/7

RGPD : 3 mois de retours d’expériences

com de crise rgpd

com de crise rgpd

COMMUNICATION DE CRISE & RGPD : TROIS MOIS, TROIS ÉTUDES DE CAS

Cela fait un peu plus de trois mois que le Règlement général sur la protection des données (RGPD) a été mis en place. Depuis lors, il y a eu une augmentation importante des notifications de violations auprès des autorités règlementaires ainsi que des cas de personnes dont les données ont été perdues ou affectées par une violation.

« La transparence accrue sur les violations de données mise en place par la RGPD a donné matière à quantité d’articles, qui peuvent mettre à mal la confiance des consommateurs. » affirme Florian Silnicki, Expert en communication de crise qui dirige l’agence LaFrenchCom.

Au Royaume-Uni, il y a notamment eu trois violations de données au cours des derniers mois qui ont attiré l’attention et encouragé la spéculation sur les leçons à en tirer.

LA CRISE TYPEFORM

Travelodge, une chaine hôtelière, a fait les gros titres en juin quand une entreprise tierce appelée Typeform, qui gère les enquêtes de satisfaction et les jeux-concours de Travelodge, a découvert que quelqu’un avait accédé sans autorisation aux données de son serveur comportant des fichiers liés à Travelodge. Il semble que cette violation a fait suite à un hameçonnage.

Dans un point presse, Travelodge a déclaré : « Typeform nous a informés de l’incident le vendredi 29 juin 2018. Les données pouvant avoir été volées incluent les noms, adresses e-mail, numéro de portable, dates de naissance et/ou sexe des clients. Les informations liées aux paiements et les mots de passe ne sont pas concernés. »

Une lettre aux clients du directeur général Guy Parsons avertissait les utilisateurs de son service en ligne d’être vigilants quant aux e-mails indésirables et mentionnait un e-mail en particulier, que certains clients avaient reçu. La lettre assurait aussi que l’entreprise n’avait pas vendu de données personnelles à quiconque et disait que l’incident avait été rapporté aux autorités règlementaires.

Quatre leçons peuvent être tirées de cette crise :

  1. Les violations de données d’un fournisseur ou une tierce partie seront toujours associées aux entreprises plus connues du grand public. En effet, même si c’est Typeform qui a été visée, les médias se sont concentrés sur Travelodge. La réputation d’une entreprise peut très vite souffrir de la violation de données subie par un sous-traitant.
  2. Les journalistes voudront toujours recueillir les commentaires des autorités règlementaires sur la violation, même si la nature de celle-ci n’oblige pas à notifier les autorités. Beaucoup d’articles sur la violation de données chez Typeform comportaient une déclaration des autorités selon laquelle « elles analysaient le rapport soumis par Travelodge » et elles « mèneraient une enquête sur les circonstances de la violation apparente avant de décider de la suite à donner, le cas échéant ». Il n’y a nulle part ou se cacher, même pour ceux qui réussissent à éviter une violation de données. N’importe quelle entreprise peut être auditée par les autorités règlementaires pour vérifier la conformité et, si elle ne l’est pas et des actions ne sont pas mises en place, des amendes peuvent être infligées.
  3. Travelodge a été critiquée pour le peu d’informations qu’elle pouvait donner lorsqu’elle a notifié les clients qui pouvaient avoir été affectés. Les entreprises qui ont été la cible de violation ne doivent pas s’attendre à une quelconque indulgence de l’opinion publique. Celle-ci ne leur pardonnera rien. En effet, le grand public considère que les entreprises ont une identité et sont capables de penser, mais il ne leur reconnait pas la capacité de ressentir. Les sociétés peuvent susciter la colère, mais pas la sympathie.
  4. Si une entreprise voit son image ternie du fait d’une violation de données, il peut être difficile de restaurer sa réputation. Les simples erreurs administratives, qui par le passé auraient été considérées comme telles, sont désormais perçues comme des violations de données, avec les conséquences que cela implique. Cinq semaines après avoir fait les gros titres avec cette violation de données, Travelodge a été accusée sur TripAdvisor d’une autre violation de données. Un client a affirmé qu’on lui avait donné une facture pour son séjour, au dos de laquelle figurait une liste de chambres avec le nom d’autres clients, le nombre d’adultes et d’enfants et les montants payés pour chaque nuit d’hôtel.

LA CRISE BUTLINS

Le 10 août, la société de camps de vacances Butlins a annoncé que des pirates informatiques pouvaient avoir eu accès à 34 000 dossiers clients. La source de la violation a été identifiée comme un hameçonnage. L’entreprise a annoncé que les données concernées étaient les noms, adresses postales, adresses e-mail et numéros de téléphone, mais que les données de paiement n’avaient pas été piratées.

Butlins a aussi affirmé que l’incident avait été rapporté aux autorités règlementaires et que l’entreprise était en train de contacter les gens qui pouvaient avoir été affectés pour les informer et leur dire quoi faire. Dans une déclaration, le directeur général, Dermot King, a dit : « Butlins prend très au sérieux la sécurité des données de nos clients et nous avons amélioré un grand nombre de nos procédures de sécurité. Je souhaite m’excuser pour tout préjudice ou désagrément qui en résulte… Nous avons mis en place une équipe dédiée pour contacter tous les clients directement affectés. Je voudrais rassurer personnellement nos clients sur le fait qu’aucune donnée financière n’a été compromise. »

On peut tirer trois leçons de la crise traversée par Butlins :

  1. Les journalistes sont très conscients du délai de 72 heures maximum en cas de violation de données et, dans la situation de Butlins, ils ont rapidement demandé si les autorités règlementaires et les personnes concernées avaient été informées dans ce délai de 72 heures. Butlins a adopté une stratégie de notification par étape (avec le soutien des autorités), consistant à donner des informations au fur et à mesure qu’elles étaient connues.
  2. Les journalistes ont demandé aux autorités si elles avaient des commentaires à faire, comme ils l’avaient fait dans le cas de Typeform, et aussi s’il y aurait une enquête. Cela a forcé les autorités à répondre de la même manière, c’est-à-dire en déclarant qu’elles « mèneraient une enquête », ce qui suggérait une atmosphère de conflit dans le processus de notification, ce qui n’était probablement pas le cas en réalité.
  3. Beaucoup de reportages ont mentionné le fait qu’« un certain nombre d’entreprises britanniques ont été la cible de piratages informatiques ces dernières années » et ont fait référence à l’amende de 400 000 livres infligée à Carphone Warehouse pour une série de « défaillances systémiques » découvertes après une violation de données en 2015 ainsi qu’une amende d’un même montant pour TalkTalk en 2016 après qu’un pirate informatique a réussi à accéder aux données personnelles de plus de 3 millions de clients et 1 000 employés. Une telle mise en contexte est fréquente de la part des journalistes, mais pour TalkTalk, Carphone Warehouse et les autres, cela signifie que les violations dont ils ont fait l’objet par le passé continuent à ternir leur réputation à chaque fois qu’une violation de données est signalée.

LA CRISE SUPERDRUG

Le 22 août, la chaine de santé-beauté Superdrug a annoncé avoir potentiellement été la cible d’une violation de données. « Quelqu’un pouvait avoir accédé » à des noms, adresses et « dans certains cas » dates de naissance et numéros de téléphone, a déclaré Superdrug. L’entreprise a publié une déclaration selon laquelle il n’y avait aucune preuve que ses systèmes avaient été compromis, mais qu’elle pensait cependant que des criminels avaient mis la main sur les adresses e-mail et les mots de passe à partir d’autres sites Internet « puis les avaient utilisés pour accéder à des comptes sur notre site ».

Superdrug a affirmé avoir informé directement tous les clients dont elle pensait qu’ils pouvaient être concernés et a ensuite déclaré que les criminels avaient essayé de leur extorquer de l’argent.

On peut tirer trois leçons de cette crise :

  1. Les références désormais familières à Carphone Warehouse et TalkTalk ont été réitérées pour donner du contexte, ainsi que les amendes qui leur avaient été infligées.
  2. Certains clients ont réagi avec colère au tweet de notification de l’entreprise, en disant que la chaine de magasins aurait dû s’excuser.
  3. Autre fait notable, les réseaux sociaux ont été largement utilisés comme sources. De nombreux articles ont adopté le même angle et ont simplement suivi et compilé les réactions sur Twitter, avec notamment toute l’indignation que cette plateforme semble générer. De telles affaires sont faciles et rapides à traiter pour un journaliste, et suivent un modèle bien établi, ce qui incite probablement ces derniers à en parler davantage que s’il s’agissait d’une situation plus complexe et a priori moins manichéenne. Comme l’a dit le célèbre journaliste britannique Jeremy Paxman dans son discours lors du MacTaggart lecture, « ce qui détermine les nouvelles, ce n’est pas leur importance, mais leur disponibilité ».

Dans ces trois affaires, les journalistes ont aussi couramment spéculé sur les lacunes potentielles persistant en matière de cybersécurité, trois mois après la mise en place du RGPD.

En conclusion, il reste encore clairement des zones de risque pour de nombreuses organisations :

  • un manque de compréhension des données collectées et traitées– établir une liste de toutes les informations personnelles identifiables reste une priorité pour beaucoup.
  • l’absence d’encodage est un autre risque fréquent– en dépit de l’obligation directe stipulée dans l’Article 32 du RGPD.
  • L’importance de la formation des employés ne doit pas être sous-estimée– tous les employés devraient être sensibilisés à l’importance des données qu’ils traitent et à leur rôle dans leur protection. Le pare-feu humain est toujours plus efficace que toutes les alternatives techniques.

« Comme pour les autres types de crises, ce n’est pas nécessairement la violation de données en elle-même qui nuit à la réputation, mais la manière dont elle a été gérée. » ajoute Florian Silnicki.