Gérer les risques aujourd'hui et demain

RGPD : seules 19 % des entreprises seront conformes à temps

08-11-2017

Certaines ignorent purement et simplement que ce règlement européen sur la protection des données personnelles entrera en vigueur en mai prochain. D’autres râlent, accusant le RGPD d’être inapplicable. D’autres, enfin, ont identifié leurs risques et leurs parades mais veulent évaluer finement les coûts que la conformité va leur occasionner. Ne pas être conforme peut coûter jusqu'à 4% du chiffre d'affaires monde de l'entreprise.

France Charruyer, avocat et directrice d’Altij, un cabinet toulousain d’avocats. © Altij
En mai 2016, vous pouviez, selon LeakedSource, acheter sur un site spécialisé dans le recel de données volées, pour à peine 2 500 euros, un fichier contenant pas moins de 427 millions de mots de passe de comptes MySpace. Deux semaines auparavant, c’était à Linkedin, le célèbre réseau social professionnel, de voir mis en vente les identifiants et mots de passe chiffrés de 117 millions de comptes de ses membres. Dropbox, Tumblr et leurs 68 millions de comptes piratés font alors figure de petits joueurs. Mais la palme de la fuite de données personnelles revient à Yahoo! qui, le 22 septembre 2016, a dû révéler l’hémorragie de 500 millions de comptes. Tout y passe : noms, adresses e-mail, dates de naissance, données sensibles comme les questions et les réponses de sécurité permettant à un utilisateur de récupérer le mot de passe de son compte. Pis, à partir de ces données, certains délinquants, spécialistes de l’ingénierie sociale, sont susceptibles de remonter jusqu’aux coordonnées bancaires des utilisateurs…

Protéger les citoyens européens

À côté du piratage, les données personnelles font aussi l’objet d’une exploitation abusive des données personnelles par des sociétés qui les monétisent. On pense, en particulier, aux GAFAM (Google, Apple, Facebook, Amazon, Microsoft) mais aussi aux licornes comme AirBnB ou Uber. « C’est le citoyen qui devient le produit, explique France Charruyer, avocat et directrice d’Altij, un cabinet toulousain d’avocats. Les Européens n’ont pas toujours conscience des données qu’ils donnent, sans même parfois s’en rendre compte. Il faut les protéger. » Tel est, en tous cas, l’objet du Règlement général sur la protection des données (RGPD) [en anglais : General Data Protection Regulation (GDPR)] qui entrera en vigueur le 25 mai 2018. « Le GDPR offre le niveau de protection le plus élevé au monde en matière de données personnelles, précise Alain Bensoussan, avocat à la Cour d'appel de Paris, spécialisé en droit des technologies avancées depuis 1978, fondateur de Lexing, premier réseau international d’avocats technologues dédié au droit des technologies avancées. À la différence d’une directive européenne, les État-membres n'ont pas à transposer ce règlement dans leur droit national. Ceci dit, il existe pas moins de 57 possibilités permettant aux États d'ajouter des obligations à celles du Règlement... Cependant, les États ne peuvent pas faire moins que le RGPD. »  Rappelons-le, les sanctions que prévoit le RGPD en cas de non conformité seront très fortes. Le maximum étant fixé à 20 millions d'euros ou 4% du chiffre d'affaires mondial de l'entreprise. Ce qui devrait donner à réfléchir...

Les entreprises ne sont pas préparées

GT Location cherche à évaluer finement combien
Le RGPD va coûter à l'entreprise. © GT Location
Une chose est sûre : dans une écrasante majorité, les organisations dans tous les secteurs d’activité vont être impactées par ce règlement mais elles sont loin d’être prêtes. Pour elles, les données à caractère personnel portent non seulement sur les clients, les fournisseurs et les partenaires mais aussi sur les salariés. « Selon l’Association française des correspondants à la protection des données à caractère personnel (AFCDP) qui regroupe les correspondants Informatique et Libertés (CIL) ainsi que les Data protection Officiers (DPO), seules 19 % des entreprises européennes pourront être conformes au RGPD en mai 2018 », poursuit France Charruyer. Dans certains secteurs, comme le transport routier de marchandises (TRM), les entreprises vont devoir changer de paradigme. « Depuis la délibération du 27 mai 2014, elles ont bénéficié une dispense de déclaration en ce qui concerne le traitement des données issus des chronotachygraphes électroniques [des équipements à bord des camions qui enregistrent les temps de conduite, NDLR], poursuit l’avocate de Toulouse qui dispose aussi d’un cabinet à Bordeaux. Désormais, elles doivent passer d’une logique de dispense à ne logique de responsabilité dans la mesure où elles devront démontrer leur conformité au RGPD en cas de contrôle. » Plus précisément, l’article 30 du règlement impose la tenue d’un registre des traitements informatiques appliqués aux données. Ce qui revient à dresser la liste des données et des traitements qu’effectuent les progiciels d’exploitation, de gestion commerciale et surtout de RH dont les données de géolocalisation ainsi que les données de vidéosurveillance des entrepôts seront particulièrement examinées. 

Comment réagissent les entreprises ?

En dehors des multinationales qui ont développé une culture juridique internationale, la plupart des entreprises ignorent purement et simplement le problème. D’autres râlent : « Un bon nombre de ténors du numérique non seulement exploitent sans vergogne les données à caractère personnel mais ils se font aussi pirater. Comment voulez-vous que les PME ou les TPE fassent mieux qu’eux ? Ce règlement est injuste, aberrant et inefficace. Il n’a aucune chance de fonctionner », témoigne le patron d’une PME rhônalpine de moins de 50 salariés, ancien directeur des systèmes d’information d’un grand groupe. Au mieux, les PME et les ETI ont identifié les risques relatifs au règlement, rencontré des prestataires en organisation et en services numériques. À l’instar de GT Location, un groupe spécialisé dans la location de poids lourds avec chauffeur qui réalise 186 millions d’euros de chiffre d’affaires pour 2016 et emploie 2.400 salariés : « Nous sommes entrain d’analyser précisément le découpage des risques et des mesures à prendre afin de placer la barre des coûts ni trop haut, ni trop bas, confie Jacques Isnard, directeur des systèmes d’information. Notre système d’information est déjà très architecturé. Nos données sont déjà traçables et leurs sources bien identifiées. » Il n’empêche, les entreprises qui n’ont pas encore commencé à structurer leur démarche RGPD ont tout intérêt à désigner au plus tôt un Data Protection Officer. 

Erick Haehnsen

Ce site modère les commentaires. Votre commentaire sera visible uniquement s'il est validé par la rédaction.

Vos réactions (0)

Soyez le premier à réagir / Signaler un abus

Réagissez

Votre adresse email ne sera pas publiée
Ce site modère les commentaires. Votre commentaire sera visible uniquement s'il est validé par la rédaction.