Transition numérique : Saisissez l’opportunité du RGPD
Applicable en mai prochain, le Règlement européen sur la protection des données (RGPD) renforce les droits des personnes. Le risque pour les entreprises : une amende pouvant atteindre 4 % du chiffre d’affaires mondial. Pourtant, ce qui peut être vécu par
Le compte à rebours s’accélère ! Dans 4 mois, toutes les entreprises françaises, y compris les administrations et les sites de e-commerce, devront être en conformité avec le Règlement n° 2016/679 du 27 avril 2016. Il représente une étape majeure en matière d’obligations juridiques vis-à-vis des “données à caractère personnel” de vos salariés, clients et prospects. Il s’agit de toute information permettant d’identifier, directement ou indirectement, une personne : nom, âge, numéro de Sécurité sociale et même son adresse IP. C’est un énorme chantier juridique. Mais pas uniquement. Il implique tous les métiers ! Pour être dans les clous, il faut vérifier la conformité de toute opération (ou ensemble d’opérations) effectuée sur des données à caractère personnel que le procédé soit automatisé ou non : collecte, enregistrement, stockage, consultation, effacement, etc.
LE RGPD INTÈGRE NOTAMMENT 3 NOTIONS MAJEURES :
La minimisation des données : vous ne pouvez conserver que les informations personnelles strictement “nécessaires” à votre activité. Une entreprise qui vend des piscines n’a pas de raison d’enregistrer la date d’anniversaire de ses clients. En revanche, un fleuriste est autorisé à le faire.
La privacy by design : dès les premières lignes d’un nouveau projet (et tout au long de son cycle de vie), tous les métiers concernés doivent s’assurer de la conformité avec le RGPD.
La privacy by default : cela consiste à prendre les mesures techniques et organisationnelles
appropriées pour garantir que par défaut seules les données qui sont nécessaires au regard de la finalité spécifique du traitement sont collectées et utilisées. Toutes ces contraintes impliquent la mise en place d’une nouvelle “gouvernance” des données. C’est l’une des missions d’un poste clé : le DPO (Délégué à la protection des données). Associé à toutes les questions en matière de protection des données personnelles, il délivre des conseils à tous les métiers, tient un registre des activités de traitement mises en oeuvre (obligatoire pour les entreprises de plus de 250 salariés) et doit notifier la Cnil (Commission nationale de l’informatique et des libertés) dans un délai de 72 heures dès la prise de connaissance de la violation. Afin d’être persuasif, le RGPD prévoit des amendes par paliers selon les fautes commises. Le maximum représente 4 % du chiffre d’affaires mondial annuel, contre au maximum 150 000 euros avec la loi de 1978. Mais ces montants ne concernent pas les TPE-PME. Les juges tiendront compte des moyens et compétences des entreprises pour évaluer la hauteur des sanctions.
ATTENTION AU CLOUD
Les entreprises ne seront pas les seules à être sanctionnées. Le texte européen tend à rééquilibrer leur relation avec leurs sous-traitants y compris les fournisseurs de solutions dans le Cloud (hébergement ou logiciels en mode SaaS). Ainsi, les sous-traitants sont tenus “de respecter des obligations spécifiques en matière de sécurité et de confidentialité (...). Ils ont notamment une obligation de conseil” sur les parties sécurité, destruction des données, contribution aux audits.
EN PLUS DE LA NOMINATION D’UN DPO ET DE LA TENUE D’UN REGISTRE, DIFFÉRENTES MESURES DOIVENT ÊTRE PRISES :
La réalisation d’une cartographie exhaustive des supports internes (serveurs, disques durs) et externes (Cloud, prestataires informatiques, etc.) stockant ce type de données. La mise en place de moyens d’identification et d’authentification des salariés. Cela implique d'établir une politique de gestion des mots de passe et de limiter les accès aux dossiers sensibles aux seuls collaborateurs vraiment concernés. La mise en place d’une politique de sauvegarde assurant la restitution intègre des données. Pour les grosses PME, un audit de conformité avec le RGPD est recommandé. Il est également indispensable de sensibiliser tous les salariés aux bonnes pratiques en matière de sécurité informatique. La sensibilisation des salariés ne doit pas se limiter au RGPD. L’arrivée de ce texte doit être l’occasion de revoir toute la politique de sécurité de l’entreprise. Les données, qu’elles soient à caractère personnel ou confidentielles (brevets, fichiers clients, projets, etc.), représentent le carburant de votre activité. Selon une enquête Cisco de 2017, 25 % des entreprises ayant subi une attaque ont manqué des opportunités commerciales, et 1/5 a perdu des clients. Les menaces numériques (pour employer une expression qui va au-delà d’une infection par un virus) doivent être intégrées à la gestion globale des risques de l’organisation, au même titre que les risques écologiques, terroristes ou naturels. La protection des données, devient de plus en plus un critère différenciateur auprès des individus, des clients, mais aussi des investisseurs. Il est nécessaire d’investir dans des outils de protection et de renforcer sa capacité de résilience. La sécurité informatique ne doit plus être considérée comme un frein, mais un levier de croissance !