Pour de nombreuses entreprises françaises et européennes, c’est la dernière ligne droite. Elles ont jusqu’au 25 mai 2018 pour se mettre en conformité avec le fameux RGPD, le nouveau règlement européen sur la protection des données. Ce texte, adopté en 2016 pour mieux protéger les citoyens et leurs données personnelles, implique des changements structurels et administratifs importants pour les entreprises.
Dix ans de négociation
À Bruxelles, la gestion des données personnelles de citoyens alimente depuis une dizaine d’années les débats entre législateurs et lobbys. Il s’agit d’un sujet délicat puisque la vente des données personnelles recueillies par des entreprises comme Google, Facebook, Apple ou Amazon, en plus des questions sur le respect de la vie privée, permet d’alimenter le marché très profitable des publicités ciblées. Au niveau européen, le secteur des big data représenterait, selon Le Monde, « quelques 300 milliards d’euros en 2016, et pourrait atteindre 430 milliards en 2020 ». Il a pourtant fallu attendre l’année dernière pour que les règles de 1995 soient remises à jour et qu’un texte, le Règlement Général sur la Protection des Données (RGPD), soit validé par la Commission européenne et progressivement adapté dans les pays membres.
Le RGPD promet aux citoyens un meilleur droit de regard sur ce qui est fait avec leurs données, notamment en imposant la signature d’une preuve de consentement explicite. Tout utilisateur de service numérique aura aussi la possibilité de récupérer ses données pour les transmettre d’une entreprise à une autre (d’un réseau social à un autre par exemple) et d’échanger avec un interlocuteur unique en cas de litige – la Commission nationale de l'informatique et des libertés (CNIL) en ce qui concerne la France.
Il s’agit d’une réelle avancée pour la protection des citoyens européens, mais aussi d’un vrai bouleversement pour les entreprises, qui vont devoir mettre en place de lourds changements.
Pour les entreprises, le règlement touche chaque service
Toutes les entreprises n’ont pas conscience qu’elles sont concernées par le RGPD. Car comme le souligne Émilie Dumérain, déléguée aux affaires juridiques du syndicat professionnel Syntec Numérique, « toutes les entreprises sont potentiellement concernées par le RGPD en ce qu’elles traitent des données personnelles dans le cadre de leur gestion RH ou de fichiers clients. Par exemple, un simple formulaire de collecte de données présent sur un site internet vitrine d’une entreprise implique la mise en œuvre des règles prévues par le RGPD. » Ensuite, il faut savoir que chaque secteur d’une entreprise est potentiellement amené à travailler sur cette mise en conformité. Du côté des employés chargés du traitement des données, comme du côté des services administratifs. De nouveaux postes devront être créés dans les grandes entreprises avec les Data Protection Officers (DPO), qui auront pour mission de surveiller la façon dont sont traitées les informations collectées, où elles sont stockées et avec qui elles sont partagées. « Un des principaux points concerne le Privacy by design, ajoute Stéphane Prévost, Product Marketing Manager chez Stormshield. C’est le fait de mettre de la sécurité au moment de la conception des traitements de données personnelles, au niveau de la donnée, du réseau, et aussi des postes sur lesquels travaillent les personnes en charge de ces données. » De la même façon, une entreprise aura pour obligation de tenir un registre pour y noter chaque étape de la mise en conformité, mais également d’alerter ses clients et la CNIL en cas de faille de sécurité. Des « études d’impact sur la vie privée » devront également être mises en place par les sociétés manipulant des données à risques, notamment lorsque cela concerne l’opinion politique, religieuse, l’origine ethnique ou l’orientation sexuelle des clients.
Sur le papier, ces évolutions semblent limpides. Mais dans les faits, de nombreuses entreprises peinent encore à les mettre en place.
42% des entreprises françaises interrogées prennent « tout juste conscience » du RGDP
Dans une récente étude réalisée par IDC France pour le Syntec Numérique, on apprenait que 42% des entreprises françaises interrogées prennent « tout juste conscience » du RGDP, et que seules 9% estiment être d’ores et déjà en conformité. « On a organisé des matinales où l’on invitait des clients pour les sensibiliser au sujet et on a parfois constaté un manque d’implication, estime pour sa part Stéphane Prévost. Certains sont déjà prêts, les grosses entreprises par exemple, mais je pense que beaucoup de petites sociétés ont décidé d’attendre et d’inclure la mise en conformité dans le budget 2018. » Une autre étude OnePoll pour Citrix, expliquait que 9% des grandes entreprises interrogées ignorent sur quels systèmes sont hébergés leurs données, et que 8% ne savent pas pour combien de temps elles sont stockées. Elles n’ont pourtant pas le choix : au-delà de la mise en demeure ou de l’interruption du traitement des données, elles risquent différents degrés de sanctions, et même une amende pouvant aller de 2% à 4% du chiffre d’affaires annuel mondial.
C’est pour cela que des sociétés de services ou de logiciels spécialisés dans la protection et la gestion des données sont de plus en plus sollicitées. « Beaucoup d’entreprises adhérentes offrent des services en lien avec le RGPD, souligne Émilie Dumérain. Par exemple, l’une d’entre elles propose un logiciel de cartographie, qui donne la possibilité d’identifier de manière automatique tous les traitements. Sans cela, on le ferait de manière manuelle dans un tableur. Un logiciel proposé par un autre adhérent permet de faire un diagnostic de votre situation. Les entreprises peuvent utiliser des outils pour mettre en œuvre la portabilité des données personnelles par exemple. Elles peuvent également recourir à des prestations de conseils, d’accompagnements, d’aide à priorisation des actions à mener. » Les entreprises ont encore cinq mois pour lancer enfin « l’industrialisation » tant redoutée de la mise en œuvre du RGPD.
Un article écrit en collaboration avec Usbek & Rica
