Règlement général sur la protection des données : nouveau cauchemar ou opportunité !

Jean Deslous-Paoli, DSI du groupe 3S, Pascal Gremiaux, CEO d’Eurecia, Christophe Marcilly, dirigeant d’Apixis, Dominique Pourtau, avocat cabinet Fidal, Christophe Duqueroy, Medef31, Isabelle Lhermite, cabinet Adrasteia Expertise, Lieutenant colonel Laurent Leberon, Gendarmerie Nationale

Le Règlement général sur la protection des données (RGPD) entre en vigueur le 28 mai 2018. C’est à la fois une menace si l’on ne fait rien, un cauchemar si l’on construit une usine à gaz mais aussi une opportunité face à la concurrence, un moyen de sécuriser davantage ses données, l’or noir du 21 siècle. C’était le thème du dernier Mardi du Medef le 13 février de la Haute-Garonne.

Les sanctions sont énormes, jusqu’à 20 millions d’euros, 4% du chiffre d’affaires de l’entreprise. Le RGPD vient s’ajouter à la loi de 1978 créant la Cnil à l’aune du tout internet. « Le principe d’extraterritorialité s’applique à tous ceux qui traitent des données à caractère personnels quelle que soit sa localisation dans le monde dès lors qu’il s’agit d’un ressortissant européen » indiquait Isabelle Lhermite, fondatrice du cabinet Adrasteia Expertises. Elle indique au passage que ce principe vaut aussi à l’envers car les Etats-Unis se sont aussi dotés de principes similaires qui peuvent amener à poursuivre une société européenne sur le terrain de la protection des données ! Le RGPD constitue clairement une réponse contre les GAFA et la Chine qui fournissent des services gratuits tout en exploitant vos données. L’idée est d’harmoniser les règles à l’échelle de l’Europe en protégeant mieux les citoyens et les entreprises.  

Le RGPD s’impose à tous ceux qui traitent des données et leurs sous-traitants. Que doit faire l’entreprise ?  Il faut nommer un DPO, un Data protection officer, le chef d’orchestre de la RGPD. Théoriquement il ne doit pas être juge et partie donc comme le responsable informatique ou le DAF. Mais en pratique, qui ? Chez Eurecia, éditeur logiciel (50 salariés) dans la sphère RH,  c’est le DAF. « Il ne faut pas jouer à se faire peur comme en l’an 2000, à mettre en péril son entreprise. Le RGPD ce n’est pas la révolution mais une meilleure protection des données sensibles. Il faut surtout se poser les questions essentielles, communiquer, revoir ses CGV… » relatait Pascal Gremiaux, le CEO d’Eurecia.

La seconde étape est de cartographier ses données et traitement y compris papier, décrire qui fait quoi, les moyens de stockage, de sauvegarde, jusqu’à quand….

3ème étape, prioriser les actions à mener pour se mettre en conformité : en particulier de ne conserver que les données utiles avec le principe de minimisation, de prévoir l’exercice des droits d’accès et d’utilisation, de vérifier la sécurité…

Une étude d’impact est préconisée pour sécuriser en fonction de la criticité. Les outils nomades sont particulièrement vulnérables. « Pour un client travaillant en Afrique, on a implanté un logiciel de cryptographie qui permet de détruire toutes les données en cas de perte. Les PME vont se doter d’une charte qui précisera les principes, prévoir la gestion des droits d’accès, organiser sa sécurité informatique » mentionnait le dirigeant d’Apixis, une SSII toulousaine spécialisée dans l’informatisation des PME-TPE. Une 5ème étape est de prévoir des procédures internes précisant le qui fait quoi en cas d’alerte, les formations…. Enfin l’ensemble des mesures doit être regroupé par exemple dans un dossier documentaire dédié. Cela facilitera les audits, la réponse aux appels d’offres qui imposeront rapidement le respect du RGPD, désarmera d’éventuels concurrents, organisera sa défense devant les tribunaux car c’est à l’entreprise de prouver qu’elle respecter le RGPD.  Dans les organisations l’impact ne sera pas neutre. « Il faudra tracer toute une série de traitement non déclarés, informer les salariés sur la protection des données. C’est la direction qui devra porter le projet sinon cela ne marchera pas. Le cauchemar, c’est le surcoût généré. Il faudra évaluer l’impact réel du RGPD dans les projets et arbitrer en l’absence de jurisprudence pour préserver les contraintes opérationnelles de l’entreprise" soulignait Jean Deslous-Paoli, DSI du groupe 3S, 4900 salariés, 330 M€ de CA dans les services aéroportuaires. Menace ou opportunité ? Il sera quasi impossible d’ignorer le RGPD car tous les acteurs économiques ou presque détiennent des données comme les RIB, les noms, adresses mail…factures…Un laps de temps sera donné aux entreprises, aux associations, aux collectivités pour s’y conformer. C’est peut-être l’opportunité de mettre à plat  l’organisation de sa sécurité informatique. En attendant vous pouvez contacter la Gendarmerie nationale qui organise des diagnostics pédagogiques gratuits sur la vulnérabilité et le risque cyber en 1h30.  (laurent.leberon@gendarmerie.interieur.gouv.fr.). Voir aussi l’initiative du Medef sur http://rgpd.medef.com. La Cnil, la Commission nationale informatique et libertés sur son site met à disposition des outils.

 

.