La directive sur la protection des données sera le cauchemar de 2018
Les entreprises qui ne seront pas prêtes le jour J courent le risque de se voir infliger une amende équivalent à 4% de leur chiffre d’affaires mondial. Un montant potentiellement dramatique.
La directive européenne du General Data Protection Regulation (GDPR), qui entre en vigueur le 25 mai 2018, accorde davantage de droits aux particuliers, notamment le droit à l’oubli, mais c’est un casse-tête pour les sociétés.
Les entreprises devront «s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver», expliquent Les
Echos. Les données devront être conservées «aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés devront être garanties», ajoute le quotidien.
L’entreprise veillera également à ce que ces données soient sécurisées à tout moment et en tous lieux et elle devra documenter toutes les mesures et procédures utiles pour assurer à tout moment cette protection. Ce sera plus stressant que le passage informatique à l’an 2000.
Eric Krzyzosiak, directeur général des services numériques de SGS, a estimé, lors de la journée des investisseurs du groupe genevois, que 75% des PME ne sont pas prêtes pour le GDPR. La réglementation concerne toutes les entreprises qui ont une relation client dans l’Union européenne. Un drame est programmé: dans ses prévisions pour 2018, la société de recherche Forrester prévoit que 80% des entreprises ne seront pas conformes.
La tentative de passer entre les gouttes de cette loi imaginée d’abord par l’Allemagne est une attitude encore fréquente. Mais les autorités des différents pays envoient des signaux sans ambiguïté. Elles ont fermement l’intention de sanctionner pour l’exemple les sociétés non conformes, notamment celles qui ne pourront pas documenter leur bonne foi. Selon nos informations, la panique ne règne pas (encore), mais elle se répandra au plus tard en février.
La directive est une chance pour quelques groupes de conseil informatique et les spécialistes de la cybersécurité, mais c’est un cauchemar pour les administrations et entreprises, notamment de taille moyenne et petite. Le coût des investissements n’est dérisoire pour personne. La Société Générale, qui vient de nommer un responsable de la protection des données (Data Protection Officer) – Antoine Pichot –, affirme que cet exercice de mise en conformité lui coûtera «quelques dizaines de millions d’euros». Selon SGS, cette directive est une opportunité de 3,5 milliards d’euros pour la branche des services informatiques.
La fin du «qui ne dit mot consent»
Pour les particuliers, le GDPR ajoute aux droits existants celui de l’oubli, ainsi que «toute une nouvelle démarche autour du consentement. Il faut que l’acte de consentement relève d’un acte positif. Qui ne dit mot consent ne sera pas GDPR compliant», explique le média spécialisé L’Usine digitale.
La relation client mérite d’être professionnalisée. La majorité des entreprises ne savent pas qui est propriétaire des données et où elles sont. «Savoir où se situent les données, qui les détient, comment les retrouver rapidement et avec sûreté, sont les clés du GDPR», note la newsletter de CIO-online. La situation est loin d’être optimale: 15% des décideurs interrogés, travaillant dans des entreprises de plus de 1000 salariés, ne savent même pas combien de données personnelles sont collectées par leur entreprise chaque jour, selon une étude effectuée par OnePoll pour Citrix, et citée par CIO-online.
Dans les grandes entreprises, 8% ne savent pas combien de temps sont conservées les données, 9% ignorent sur quels systèmes. Selon ce sondage, les entreprises interrogées utilisent en moyenne 22 systèmes de gestion et de stockage différents pour leurs données, 18% d’entre elles passent par plus de 40 systèmes différents.
Oublier et garder toute trace du client?
Dans 54% des cas, les sociétés hébergent des données de clients par des tiers. Ils les partagent en moyenne avec 40 prestataires différents. Enfin, 10% des grandes entreprises ignorent combien de temps et sur combien de systèmes différents sont stockées leurs données.
Le GDPR, c’est «probablement le changement le plus important des règles sur la protection de la vie privée depuis deux décennies», écrit Le Journal du Net. La législation ne manquera toutefois pas d’être paradoxale, note ce dernier. D’un côté on introduit le droit à l’oubli, mais de l’autre l’entreprise doit conserver toute trace de relation contractuelle avec un client.