Combien de temps faut-il pour évaluer les risques en cas d’incident privacy ?

Telle est la question traitée par une intéressante tribune publiée sur le site de l’IAPP par Mahmood Sher-Jan, dirigeant de la société “RADAR”.

Une question de conformité, mais aussi de mitigation des risques

En effet, dans un contexte marqué par les fameuses 72 heures de notification instaurées par le RGPD, le délai de traitement de chaque incident privacy se resserre inexorablement. La pression sur les épaules des professionnels, qu’ils soient internes aux organisations ou qu’ils interviennent en tant que conseils, est en constante augmentation.

Mais d’autres facteurs sont à prendre en compte, comme la mitigation du risque :

Bien sûr, se conformer à des délais de notification issus de la réglementation n’est pas la seule raison de gérer les incidents relatifs aux données personnelles aussi avec autant de stabilité et de cohérence que possible. Plus un incident traîne, plus le risque est grand pour l’organisation. Il est essentiel d’escalader rapidement les incidents auprès de l’équipe privacy et d’évaluer de façon consistante et argumentée le niveau de risque de l’incident (…).

D’importantes différences d’un secteur à l’autre

En se basant sur les statistiques relevées par l’outil commercialisé par son entreprise, l’auteur considère que les incidents privacy sont en moyenne évalués, scorés et traités dans un délai d’environ 32 jours suivant leur naissance. Un chiffre qui varie naturellement selon les secteurs d’activité :

Mahmood Sher-Jan, RADAR, Inc./IAPP

Mahmood Sher-Jan, RADAR, Inc./IAPP

Les pistes pour s’améliorer

Comment améliorer ces délais ? L’article fournit trois pistes intéressantes :

  • Si l’organisation met trop longtemps à découvrir les incidents : la formation des équipes

  • Si c’est la phase d’investigation et d’évaluation qui ralentit le processus : l’amélioration des procédures et des ressources à la disposition des équipes

  • Si, enfin, le bât blesse au moment de notifier l’incident : un travail sur la répartition des rôles entre les équipes IT, conformité et juridiques, ainsi qu’entre parties prenantes internes et conseils externes.

Une réflexion intéressante du début à la fin en tout cas, avec de nombreuses idées à piocher pour améliorer sa propre gestion des incidents et des risques, dans un contexte d’augmentation du volume et de la fréquence des incidents.

(Source : IAPP)