Les impacts du RGPD sur votre organisation

RGPD : le compte à rebours s’accélère 

Validé en 2016, le RGPD entre en application fin mai. Contrairement à une idée répandue selon laquelle ce texte européen s’adresse en priorité aux grands comptes, le Règlement n° 2016/679 concerne toutes les entreprises. Quelles que soient leur taille et leur activité ! 

Toutes les organisations (même étrangère) traitant des données personnelles de citoyens européens doivent mettre en place différents processus et solutions. L’objectif est de renforcer la protection du « traitement » (collecte, enregistrement, stockage, modification, consultation, etc.) de ce type d’informations. Pour les juristes, une donnée à « caractère personnel » est tout ce qui permet d’identifier, directement ou indirectement, une personne : nom, âge, numéro de Sécurité sociale, et même adresse IP. 

En France, la loi Informatique et Libertés de 1978 imposait déjà à tout responsable du traitement (en l’occurrence le chef d’entreprise) d’assurer la sécurité des données à caractère personnel. Cette obligation est non seulement maintenue, mais elle est renforcée par le RGPD. 

Ce texte, comportant près de 90 articles, intègre deux notions majeures : 

• La privacy by design : dès les premières lignes d’un nouveau projet (un service, un logiciel, etc.), et tout au long de son cycle de vie, tous les métiers concernés doivent respecter le RGPD. 

• La privacy by default : il consiste à prendre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données qui sont nécessaires sont collectées et utilisées. C’est ce qu’on appelle la « minimisation ». Par exemple, une entreprise qui vend des piscines n’a pas de raison d’enregistrer la date anniversaire de ses clients. 

En cas de contrôle de la CNIL, une entreprise qui ne sera pas en conformité pourra être condamnée à des amendes par paliers en fonction des fautes commises. Le maximum est de 4 % du chiffre d’affaires mondial annuel, contre au maximum 150 000 € avec la loi de 1978. Mais ce plafond ne concerne pas les TPE-PME. Les juges tiendront compte de leurs moyens et de leurs compétences pour évaluer le montant des sanctions. 

Par ailleurs, la CNIL a rappelé qu’elle fera preuve d’indulgence durant les premiers mois. Mais sa clémence se limitera aux nouvelles obligations du RGPD, pas pour celles précisées dans la loi Informatique et Libertés ! 

RGPD : un objectif transversal 

Le RGPD représente donc un énorme chantier juridique et technique. Il implique tous les métiers ! Le service RH devra revoir le traitement des données personnelles des salariés, des stagiaires et des intérimaires, mais aussi des candidats à l’embauche. Les services marketing et commercial devront « purger » toutes les données récupérées, mais qui ne sont plus strictement « nécessaires » au regard de ce texte. Quant au service juridique, il devra revoir tous les contrats de travail et ceux des sous-traitants afin d’inclure des clauses spécifiques. 

Toutes ces contraintes impliquent la mise en place d’une nouvelle « gouvernance » des données. C’est l’une des missions d’un nouveau poste-clé : le DPO (Data Protection Officer ou Délégué à la protection des données). Il devra informer et délivrer des conseils dans le cadre de la mise en oeuvre des traitements. Il devra également constituer un dossier et prévenir sous 72 heures la CNIL dès qu’un piratage informatique ayant un impact sur les données personnelles aura été constaté. 

RGPD : une culture de la sécurité 

Chaque entreprise doit nommer en interne un « monsieur data » ou une « madame data » qui doit être indépendant de ce type de traitement. Le DPO ne peut être juge et partie. En revanche, les PME peuvent externaliser cette fonction en faisant appel à des entreprises proposant ce genre de prestation. Cette option est d’autant plus intéressante que le DPO est en quelque sorte un mouton à cinq pattes, car il doit avoir des compétences juridiques et techniques. Il peut donc s’agir du CIL (Correspondant Informatique & Liberté) si l’entreprise en a déjà un. 

Au-delà des contraintes spécifiques au RGPD, ce texte oblige les entreprises à mieux maîtriser le cycle de vie des données personnelles (localisation, registre de traitement, etc.). Tous les services doivent prendre conscience que la data fait partie de leurs actifs, qu’elle est extrêmement importante pour eux et qu’ils doivent la protéger. 

Il est même possible, voire conseillé, de présenter le RGPD comme un argument commercial. Les entreprises doivent s’appuyer sur ce texte pour mettre en avant leur bonne gestion des données. Elle permettra par ailleurs de renforcer la confiance de leurs clients et des utilisateurs. 

Selon une enquête d’un fabricant américain d’équipements informatiques parue en 2017, 25 % des entreprises ayant subi une cyberattaque ont manqué des opportunités commerciales. Une sur cinq a même perdu des clients. Une cyberattaque ou une fuite de données tombant sous le coup du RGPD peut nuire gravement à la réputation d’une PME. 

D’où l’importance d’investir dans des outils de protection et de renforcer sa capacité de résilience. Pour relever ce défi, il est indispensable d’être accompagné par des experts et de réaliser un audit, afin de mieux appréhender les réels enjeux du RGPD et de sécuriser son patrimoine informatif. 

Xavier Poinsignon

Responsable Marketing Offre Securité