Cyberattaques, non-conformité et sanctions : en 2025, la protection des données demeure un enjeu majeur pour les organisations. Enjeu qui est pleinement abordé et traité dans le cadre de la démarche NR.
En 2025, la question de la protection des données est un élément toujours aussi crucial pour les organisations, et ce pour plusieurs raisons.
Tout d’abord, les cyberattaques occupent toujours la première place des risques auxquels les organisations doivent faire face, comme par exemple dans le Baromètre des risques d’Allianz 2025 ou dans la cartographie prospective 2025 de l’assurance. Le nombre d’incidents de cybersécurité est toujours en augmentation, et la dépendance croissante à la technologie ne fait qu’exacerber ce risque. Parmi les cyberattaques, plus de 60% des répondants au baromètre Allianz considèrent les violations de données comme le risque le plus redouté.
Par ailleurs, l’aspect réglementaire est également un enjeu important pour les organisations, avec notamment la conformité au RGPD (Règlement Général sur la protection des données). En effet, la CNIL a récemment partagé le bilan 2024 de son action de contrôle : elle a ainsi prononcé 331 décisions dont :
- 87 sanctions pour un total de plus de 55 millions d’euros d’amendes cumulées
- 180 mises en demeure
- 64 rappels aux obligations légales
Parmi les sanctions, on peut notamment souligner le manquement relatif à la sécurité des données personnelles, retenu à l’encontre de 11 organismes qui n’avaient pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité des données, comme l’utilisation de mots de passe insuffisamment robustes, le stockage de mots de passe en clair, l’absence de politique d’habilitation, ou encore l’utilisation d’une version obsolète du protocole TLS qui permet d’assurer la confidentialité et l’intégrité des informations qui circulent entre le serveur et le navigateur de l’utilisateur.
Ces différents éléments nous rappellent l’importance d’adresser le sujet de la protection des données au sein de l’organisation. L’excellente nouvelle pour vous qui vous intéressez à la démarche Numérique Responsable est qu’il s’agit d’un pilier majeur de la démarche.
En effet le référentiel du label NR comporte 4 axes et 14 principes d’action.
L’un de ces principes d’action (PA) s’intitule “Adopter une gestion responsable des données”. Ce principe s’articule autour de trois types d’investissements responsables (TIR) :
- Collecter uniquement les données nécessaires lors de la création d’un nouveau service numérique.
- Informer les utilisateurs de l’usage qu’il sera fait de leurs données et répondre à leurs sollicitations sur le sujet.
- Sécuriser le stockage des données et assurer leur archivage ou leur suppression selon des conditions fixées en interne.
Ainsi, votre démarche NR est un véritable atout à votre gestion des risques, qu’ils soient d’ordre réglementaire ou cybercriminel.