Le prochain big bang numérique
La nouvelle législation européenne sur la protection des données doit entrer en vigueur en mai prochain. Une date butoir que plus des deux tiers des entreprises helvétiques sont en passe de rater. Les explications avec Cédric Juillerat, directeur de Codalis à Genève
Le premier trimestre de 2018 risque de tourner au cauchemar pour les entreprises suisses. Bruxelles a édicté une nouvelle directive sur la protection des données (RGPD). En vigueur dès le 25 mai prochain, elle concerne toutes les sociétés qui collectent et traitent des informations numériques à caractère personnel, relatives à des individus se trouvant dans l’Union européenne, avec l’intention de vendre des biens et services ou d’analyser le comportement des internautes. Pourtant, les enseignes helvétiques, largement touchées par ce dispositif inédit, semblent accuser un important retard dans leurs efforts d’adaptation.
«On estime que plus de 75% des entreprises, hormis celles actives dans le secteur médical, n’ont pas encore commencé à s’intéresser à ce nouveau règlement et n’ont toujours rien mis en place pour s’y conformer», résume Cédric Juillerat, directeur de Codalis, une société de services informatiques genevoise de 40 collaborateurs, qui conçoit et opère les infrastructures d’entreprises de l’Arc lémanique.
Mai 2018, c’est demain. L’attentisme des établissements suisses est en passe de se muer en élan de panique au lendemain des fêtes de fin d’année. Car le RGPD augure d’un véritable cassetête logistique et électronique. Les adaptations nécessaires à l’échelle helvétique se chiffrent à plusieurs centaines de millions de francs.
Des sanctions record
Le nouveau texte introduit des dispositions telles que la possibilité d’obtenir la suppression de ses données personnelles (droit à l’oubli) ou le transfert gratuit, d’un prestataire de services à un autre (portabilité des données), d’y avoir accès facilement et de donner son consentement préalablement à toute collecte.
Côté entreprises, le RGPD implique la désignation d’un délégué à la protection des données, garant de leur cycle de vie – de la collecte au stockage, jusqu’à leur obsolescence. Techniquement, cela se traduit par une gestion plus stricte des registres numériques et une sécurité renforcée des systèmes d’information.
Le RGPD instaure aussi la possibilité d’engager des litiges afin d’être indemnisé en cas d’infraction. La nouvelle loi prévoit des amendes administratives pouvant représenter jusqu’à 4% du chiffre d’affaires mondial annuel de la société fautive, ou plus de 23 millions de francs. «Au-delà des pénalités financières, les entreprises jouent leur réputation», signale Cédric Juillerat, qui – comme tant d’autres depuis plusieurs semaines – organise le 29 novembre prochain au Forum Genève une conférence pour déterminer les effets des nouvelles mesures européennes sur les systèmes d’information des entreprises suisses.
La question des cyberattaques
Le Conseil fédéral a rendu en décembre dernier son avant-projet législatif sur la révision complète de la loi sur la protection des données (LPD), jugée inadaptée aux évolutions technologiques. Ce dernier s’inscrit dans la stratégie «Suisse numérique» d’avril 2016. «Le RGPD est une opportunité de se mettre en conformité avec la LPD, qui s’en veut proche à 90%. Il est opportun de faire un état des lieux et d’identifier clairement les options, en matière de gouvernance, de solutions applicatives et d’infrastructure», souligne Cédric Juillerat.
Toutefois, le RGPD reste aujourd’hui muet sur le lieu de stockage des données. «Entre un cloud en Irlande, une structure 100% suisse ou des solutions plus exotiques, les entreprises helvétiques bénéficient d’une marge de manoeuvre. La question doit être posée, notamment dans un contexte de recrudescence des cyberattaques», conclut Cédric Juillerat. n