Le RGPD (Règlement Général sur la Protection des Données, UE est entré en vigueur en 2018. Cette règlementation a été adoptée par suite de plusieurs scandales importants qui sont listés ci-après :

• Cambridge Analytica le scandale de Yahoo! (2013-2014) a exposé 3 milliards de comptes (noms, emails, mots de passe) à cause du Piratage par des hackers étatiques (liés à la Russie). Yahoo! a caché la fuite pendant 3 ans. Cela a eu compte impact, une baisse de 350 millions de dollars de la valeur de vente de Yahoo à Verizon et une amende de 35 millions de dollars (SEC). La leçon qui en a été tirée c’est une obligation de notification rapide des violations de données.
• En 2016, nous avons eu le scandale Uber (2016) qui a exposé 57 millions d’utilisateurs et chauffeurs (noms, emails, permis). Ceci à cause d’une fuite cachée par Uber, qui a payé les hackers pour étouffer l’affaire. Ce qui a valu à UBER une amende de148 millions de dollars (FTC) et une perte de perte de confiance massive. La leçon à tirer de ce scandale est la nécessité de transparence obligatoire envers les autorités et les utilisateurs.
• Le scandale Equifax (2017) en ce qui le concerne a exposé  147 millions de personnes (numéros de sécurité sociale, cartes de crédit) à cause d’une Vulnérabilité non corrigée sur un serveur web. L’impact a été un Coût total de 1,4 milliard de dollars (indemnisations, amendes) et si l’entreprise avait été européenne elle aurait eu sanction potentielle de 4% de son Chiffre d’affaire. La leçon à en tirer est Importance des mises à jour de sécurité et du chiffrement.
• scandale Facebook – Cambridge Analytica survenu en 2018. Ce scandale a révélé plusieurs failles critiques sur la protection des données :Profils psychologiques de 87 millions d’utilisateurs Facebook exposés à cause d’une application tierce (« This Is Your Digital Life ») qui a collecté illégalement des données via des quiz, revendues à Cambridge Analytica. Cela a eu pour impact une manipulation politiques d’élections (ex : Trump 2016, Brexit). Une leçon en a été tirée, c’est-à-dire la nécessité de contrôler les accès tiers et de limiter la collecte de données.
• Le scandale du Colonial Pipeline en 2021 a exposé les Systèmes de gestion d’oléoducs (attaque ransomware) à cause d’un mot de passe compromis via une ancienne connexion VPN non sécurisée. L’impact  a été un arrêt des activités pendant 6 jours causant une Pénurie d’essence aux États-Unis. La Rançon a dû être payée en Bitcoin pour l’équivalent de 4,4 millions de dollars. La leçon à tirer de ce scandale est la nécessité de sécurisation des accès critiques et la mise en place de plans de réponse aux incidents.

Le tableau ci-après présente un récapitulatif des scandales cités et des sanctions qui ont été infligées.

Les scandales cités posent donc plusieurs enjeux en termes de protection des données notamment en ce qui concerne les données à caractère personnel :

• • Transparence: Cacher une fuite aggrave les sanctions (ex : Uber, Yahoo!).
  • Sécurité des tiers: Les vulnérabilités chez les partenaires sont critiques (ex : Facebook).
  • Réponse rapide: Un plan d’urgence limite les dégâts (ex : Colonial Pipeline).
  • Conformité RGPD: Les amendes sont dissuasives (jusqu’à 4% du CA mondial) doivent inciter les acteurs à mettre en place des dispositifs conformes. Par conséquent quelque soit la taille de l’entreprise, une fois que des données sont traitées, la mise en conformité ne doit pas être considéré comme un coût mais un investissement pour éviter des risques juridiques, financiers et réputationnels.

En conclusion, les raisons de l’ adoption du RGPD sont donc :

• Harmonisation juridique: Remplacer les directives par un règlement directement applicable dans tous les États membres, pour simplifier le cadre légal et réduire les coûts de conformité des entreprises.
• Renforcer les droits des citoyens: Donner aux individus un contrôle accru sur leurs données via des droits nouveaux ou renforcés :
• Consentement explicite et éclairé,
• Droit à l’oubli,
• Portabilité des données,
• Accès transparent aux informations collectées.
• Adaptation à l’ère numérique: Imposer des obligations strictes aux organisations
• Privacy by design/by default(intégration de la protection des données dès la conception des systèmes),
• Notification des violations de données sous 72 heures,
• Tenue de registres des traitements,
• Désignation de délégués à la protection des données (DPO).
• Globalisation des enjeux :Appliquer le RGPD extra territorialement : toute entreprise traitant des données de résidents de l’UE, même hors d’Europe, doit s’y conformer.
• Stimuler la confiance dans l’économie numérique :Un niveau élevé de protection des données est vu comme un avantage compétitif pour l’UE, favorisant l’innovation responsable et la fidélisation des utilisateurs.