Gérer la confidentialité des données dans le contexte de la COVID-19 – Relever les défis d'une pandémie en 2021

L'année dernière, la pandémie de COVID-19 a provoqué une perturbation du marché mondial dans de nombreux secteurs, et les constructeurs s'attendent à ce que la pandémie continue d'affecter l'industrie automobile tout au long de l'année 2021. La pandémie n'a pas ralenti les innovations technologiques dans le secteur ni le rythme de renforcement de la réglementation en matière de confidentialité et de sécurité des données. Au milieu de la pandémie, nous avons assisté à des changements importants dans le domaine de la confidentialité, notamment une augmentation constante des litiges intentés par des particuliers en vertu de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), une mesure référendaire réussie modifiant la CCPA afin d'inclure de nouvelles obligations importantes pour les entreprises, qui reflètent souvent celles du règlement général sur la protection des données (RGPD) européen, et une décision majeure de la Cour de justice de l'Union européenne dans l'affaire dite « Schrems II » ayant un impact sur les transferts de données personnelles entre l'UE et les États-Unis, qui ont toutes un impact sur l'industrie automobile. Comme nous l'avons vu ces dernières années, la demande des consommateurs pousse l'industrie vers une plus grande protection de la vie privée et cette tendance ne devrait pas ralentir.

L'année 2020 et la pandémie ont entraîné des changements non seulement dans l'environnement réglementaire, mais aussi dans les opérations commerciales, avec des périodes prolongées de travail à distance, la mise en place d'outils de suivi collectant des informations sensibles sur la santé des employés et l'achat de véhicules entièrement à distance, modifiant ainsi le paysage des interactions avec les consommateurs. Sans préavis ni délai suffisant pour s'organiser, les entreprises ont été contraintes de passer brusquement à un environnement de travail à distance, exposant ainsi de nouvelles vulnérabilités et créant de nouveaux risques de sécurité avec l'utilisation accrue d'appareils personnels et de réseaux non sécurisés, l'augmentation des attaques de phishing, la saturation des ressources des réseaux privés virtuels et les répercussions économiques dans tous les secteurs, limitant les ressources.

En conséquence, nous prévoyons qu'en 2021, les priorités budgétaires des entreprises seront réparties entre les services informatiques et les services chargés de la conformité, et que toute augmentation des dépenses sera consacrée aux ressources nécessaires pour répondre aux exigences réglementaires ou aux risques affectant la confiance des consommateurs. Alors que les dirigeants du secteur s'efforcent de hiérarchiser les contraintes budgétaires tout en relevant les nouveaux défis commerciaux et opérationnels liés à la pandémie, il est important qu'ils gardent à l'esprit que le non-respect des exigences en matière de confidentialité et de sécurité peut entraîner de lourdes sanctions financières et juridiques, notamment des amendes élevées et une responsabilité civile potentielle, et peut entraîner une perte de confiance des consommateurs susceptible d'avoir un impact sur une marque dans le contexte post-pandémique.

Alors que les constructeurs automobiles font face à des contraintes budgétaires et à un environnement réglementaire en pleine mutation avec de nouvelles exigences de conformité, les dirigeants peuvent avoir des difficultés à gérer la conformité en matière de confidentialité des données et les pratiques de sécurité. Cependant, nous présentons ci-dessous six domaines d'action essentiels pour garantir la résilience et la sécurité de votre organisation, vous conformer au mieux aux exigences réglementaires et maintenir la confiance des consommateurs face à l'évolution constante des lois sur la confidentialité des données.

1. Protocoles d'intervention en cas d'incident et de continuité des activités

La pandémie a créé un défi colossal à l'échelle mondiale pour les entreprises, qui n'étaient pas préparées au premier confinement et ont dû rapidement réaffecter leurs ressources afin d'assurer la continuité des activités pour leur personnel dans un environnement de travail à distance. Peu d'organisations, voire aucune, avaient prévu une pandémie mondiale dans leurs plans de continuité des activités, ce qui a laissé de nombreuses entreprises dans l'incapacité de répondre à la demande accrue en ressources infrastructurelles posée par le travail à distance. Cela a eu un impact sur la capacité des entreprises à tous les niveaux et dans tous les domaines de l'écosystème automobile à continuer de répondre de manière efficace et cohérente aux incidents de sécurité, ainsi qu'à maintenir et gérer leurs pratiques et procédures en matière de cybersécurité. À l'avenir, alors que l'on s'attend à davantage de perturbations et de confinements à l'échelle locale, régionale ou nationale, les entreprises automobiles devraient s'assurer que leurs plans et protocoles d'intervention en cas d'incident sont mis à jour pour un environnement de travail à distance.

2. Sécurité du système et contrôles d'accès

Lorsque les entreprises ont massivement transféré l'ensemble de leurs effectifs vers un environnement distant, elles ont souvent réalisé que les principales contraintes pour les organisations étaient la capacité d'accès à distance et les contrôles d'accès aux systèmes d'entreprise. De nombreuses entreprises ont constaté que les systèmes existants étaient particulièrement sujets à des problèmes de disponibilité, d'évolutivité et de performances, autant d'éléments indispensables au bon fonctionnement d'une cybersécurité efficace pour les effectifs, ainsi qu'à la sécurité des véhicules, du matériel connecté et des composants. À l'avenir, nous pensons que les entreprises continueront à donner la priorité aux dépenses à court terme en matière de sécurité pour les télétravailleurs. En outre, les entreprises pourraient envisager de déployer des technologies et des solutions pouvant être rapidement adoptées, telles que des solutions cloud et des fournisseurs de services de sécurité. Cependant, nous suggérons d'impliquer les parties prenantes concernées, telles que l'équipe de sécurité, dès le début du processus afin de s'assurer que tous les avantages et risques en matière de sécurité sont pris en compte dans le cadre d'une telle transition. La connectivité à distance devrait faciliter davantage les pratiques de sécurité, notamment les mises à jour et les correctifs OTA (Over-The-Air) pour les logiciels et les composants électroniques des véhicules. Les entreprises devraient également envisager de mettre en place une authentification multifactorielle et de mettre à jour leurs capacités de surveillance de la sécurité et leurs règles de gestion des journaux afin de garantir une visibilité totale malgré les conditions de travail à distance. Les considérations ci-dessus devraient s'ajouter aux fonctions de sécurité internes et externes (basées sur les produits) essentielles, telles que les correctifs, la gestion des vulnérabilités et les programmes de sensibilisation à la cybersécurité.

3. Évaluer l'hygiène de sécurité des télétravailleurs

La fermeture rapide au début de la pandémie a fait que tous les services d'une organisation n'étaient pas prêts pour un environnement de travail à distance. Comme on s'attend à d'autres perturbations et confinements locaux, régionaux ou nationaux, les entreprises devraient chercher à résoudre les problèmes liés aux réseaux non sécurisés et à l'utilisation d'appareils personnels par les employés. À l'avenir, les entreprises devraient exiger que les employés installent un logiciel de sécurité d'entreprise sur tout appareil personnel avant de se connecter au réseau de l'entreprise et devraient établir ou revoir les règles de pare-feu d'accès à distance, y compris la surveillance de l'intégrité des fichiers et l'analyse du comportement des utilisateurs et des entités.

4. Gestion des risques liés aux tiers

Comme nous l'avons vu dans les retombées de la violation de SolarWinds, les tiers peuvent être une source de vulnérabilité pour les entreprises. C'est un schéma qui ne cesse de se répéter (vous vous souvenez de la violation de Target en 2013 ?). Dans le cas de SolarWinds, les pirates ont pu infiltrer les systèmes des clients de SolarWinds grâce à une mise à jour compromise du logiciel SolarWinds. La plupart des entreprises ne sont pas préparées à ce type de compromission des fournisseurs, car les logiciels signés numériquement par le fabricant (ici, SolarWinds) sont intrinsèquement considérés comme fiables par les utilisateurs. Ce type de risque peut être particulièrement répandu dans l'industrie automobile en raison de la connectivité importante entre les organisations de l'écosystème automobile. À l'avenir, les entreprises peuvent envisager de mettre en œuvre des principes de réseau « zero trust » et d'étendre les contrôles d'accès basés sur les rôles des utilisateurs aux applications et aux serveurs, et de limiter l'accès aux applications et aux serveurs nécessaires afin de minimiser tout impact potentiel sur le système de l'entreprise. Les entreprises doivent continuer à mettre en œuvre des mesures et des pratiques de sécurité qui permettent d'assurer la meilleure cybersécurité possible, notamment en éliminant les vulnérabilités dès la phase de conception et en surveillant et en se préparant en permanence à de nouvelles menaces de sécurité inévitables.

5. Meilleures pratiques en matière de confidentialité des données et de conformité

Alors que le paysage de la protection de la vie privée continue d'évoluer et de se complexifier, les entreprises continuent de trouver la conformité particulièrement difficile. Par exemple, alors que les entreprises ont déployé des efforts considérables pour se conformer à la loi californienne CCPA, la nouvelle modification apportée à cette loi impose de nouvelles obligations aux entreprises opérant en Californie et en dehors de cet État, notamment de nouveaux droits pour les consommateurs, tels que la possibilité de refuser de manière limitée l'utilisation ou la divulgation d'informations personnelles sensibles, à l'exception de celles qui sont nécessaires à l'entreprise pour fournir ses biens et services, une catégorie qui inclut les informations de géolocalisation pouvant être collectées par un véhicule. Les voitures d'aujourd'hui sont, en substance, des ordinateurs sur roues, des ordinateurs très complexes, des smartphones, des tablettes et des réseaux réunis en un seul appareil. En vertu de l'arrêt Schrems II, les entreprises sont tenues d'évaluer au cas par cas si un transfert de données utilisant des clauses contractuelles types répondra aux normes de l'UE. Étant donné que les exigences en matière de confidentialité et de sécurité dans les pays développés convergent, ce qui se passe dans l'UE peut avoir (et a eu) un impact sur ce qui se passe aux États-Unis en matière de réglementation et de conformité dans le secteur automobile. Pour les entreprises dont les activités sont diverses ou étendues, il est essentiel de comprendre comment leurs activités s'inscrivent dans ces dispositifs de protection de la vie privée afin de se conformer à la réglementation. En outre, la mise en œuvre et le maintien d'un programme de confidentialité solide, adaptable aux exigences spécifiques des différentes juridictions, favoriseront la confiance et la fidélité des consommateurs à l'égard de la marque d'une entreprise. Cela dit, même si un programme de confidentialité solide peut être conforme à certaines exigences en matière de notification et aux droits des consommateurs mis en œuvre par les lois sur la confidentialité, il ne protège pas une entreprise contre les utilisations ou divulgations non autorisées, et les entreprises doivent continuer à mettre en œuvre des pratiques de sécurité qui offrent la meilleure protection possible en matière de cybersécurité.

6. Attentes des clients

Les consommateurs sont de plus en plus conscients des risques liés à certaines technologies utilisées dans leurs produits automobiles, comme en témoigne l'émergence sur Amazon de niches industrielles proposant des cages de Faraday pour les télécommandes. Les entreprises devraient commencer à se démarquer en faisant de la confidentialité et de la sécurité une priorité dans leurs produits et en rendant cette priorité évidente pour leur marché de consommation. Cela leur permettra de tirer parti de cette réputation alors que les offres de produits continuent à s'orienter vers des fonctionnalités entièrement autonomes. Nous nous attendons par exemple à voir cette technique marketing utilisée par le dernier arrivé dans l'industrie automobile, Apple, Inc., largement connu comme une entreprise de produits grand public axée sur le design. Les clients d'Apple sont habitués à une expérience fluide sur tous les appareils, avec une confidentialité et une sécurité intégrées dans la conception du produit. Nous pensons qu'Apple tirera parti de sa réputation en matière de confidentialité et de sécurité et de son expérience client fluide pour commercialiser son offre automobile auprès des consommateurs. À mesure que l'industrie évolue vers un marché des véhicules autonomes, la réputation d'une entreprise en matière de confidentialité et de sécurité sera essentielle pour l'adoption de ces produits par les consommateurs et la fidélité continue de ces derniers à la marque.

Conclusion

L'année 2020 a été marquée par des perturbations sur les marchés et des défis importants pour le secteur, et 2021 semble prête à poursuivre dans cette voie, menant à une nouvelle normalité. Les contraintes budgétaires continueront d'être un facteur important pour les entreprises en 2021. Celles-ci devront adapter leurs stratégies pour faire plus avec des budgets réduits, tout en restant conformes aux exigences réglementaires. Pratiquement tous les aspects d'une organisation, ainsi que les tiers, devront être impliqués pour planifier et mettre en œuvre correctement les mesures de protection, et se préparer à se conformer aux nouvelles réglementations et aux exigences croissantes des consommateurs. Alors que les attentes des consommateurs continuent de stimuler la surveillance de la vie privée, il est possible de prendre la tête dans ce domaine en pleine évolution, mais avec l'arrivée de nouveaux acteurs sur le marché, cette opportunité ne durera pas très longtemps.