RGPD : qu’est ce que cela va changer ?

i-tourisme

Le 25 mai 2018 entre en vigueur le règlement européen sur la protection des données, appelé RGPD. Il vise à protéger toutes les données personnelles stockées par les entreprises, qu’elles soient publiques ou privées. Comment appréhender ces nouvelles règles ? Quels sont les impacts immédiats pour les entreprises ? En effet, les sanctions prévues sont très dissuasives pour toutes celles qui ne seront pas conformes.

 

Concrètement le RGPD, c’est quoi ?

Le RGPD se définit avant tout comme un règlement européen, c’est-à-dire qu’il a force de loi en France, et s’applique sur le territoire national dès son entrée envigueur. Dans l’hexagone, la CNIL a la charge de contrôler mais aussi de préparer les sanctions, qui pourront être pénales pour les chefs d’entreprise. En bref, il s’agit surtout d’une sécurité pour défendre les informations personnelles de tous. C’est un engagement de confiance et une responsabilisation des entreprises.

Pourquoi ?

Dans un monde numérique en pleine expansion, les données à caractère personnel mais également toutes les données manipulées par les entreprises sont peu ou mal gérées, protégées ou contrôlées. Elles deviennent de plus en plus volatiles. En surfant sur le web, en consommant, chacun d’entre nous laisse une empreinte souvent indélébile et souvent commercialement exploitable par  les acteurs du e-commerce. Le bilan de 2017 est lourd : des attaques massives ont impacté et paralysé de nombreuses entreprises. Le nombre total de cyber-attaques a augmenté de 35% en l’espace d’un an. En France, certaines études en ont en recensé plus de 15 millions au 1er trimestre 2017 ce qui représente 4,4% des attaques mondiales.

 

Une prise de conscience

Ce règlement est aussi une réponse à ces problèmes de sécurité : une obligation à se sensibiliser sur les risques d’intrusion et de piratage. Un enjeu d’autant plus vital qu’un nombre croissant d’entreprises victimes d’attaques sur leur fichier clients déposent le bilan dans les six mois qui suivent. La prise en otage des données est devenue monnaie courante et désormais les acteurs économiques le savent.

 

Les objectifs

En plus de responsabiliser les entreprises, le but est aussi de renforcer le droit des personnes, notamment par la création d’un droit à la portabilité et aux informations concernant les mineurs. Il s’agit également de crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des datas (CNIL). Elles pourront ainsi adopter des décisions communes lorsque les traitements seront transnationaux pour ainsi appliquer s’il le faut des sanctions renforcées.

 

A qui s’applique ce règlement ?

À toutes les entreprises publiques ou privées responsable du traitement de données mais  aussi aux sous-traitants. Il s’applique à toutes les structures basées dans l’UE mais également à celles amenées à traiter les données de citoyens de l’UE. William Culbert, directeur technique EAMEA chez Bomgar précise : « Au sein d’une entreprise, le RGPD doit être appliqué par les responsables du contrôle et du traitement des données. De plus, les entreprises doivent savoir parfaitement où et dans quelles conditions les données qu’elles collectent et stockent se trouvent physiquement, surtout si elles utilisent des solutions SaaS et des environnements cloud et hybrides ». Mais aujourd’hui, sont t’elles préparées à ces changements ?

 

La mise en place

Le baromètre RGPD1 montre qu’à ce jour 44% des entreprises considèrent déjà qu’elles ne seront que partiellement conformes. En outre, Une étude IDC, menée en mai et juin dernier, révèle qu’à un an de l’échéance, seulement 9 % des entreprises françaises se déclarent conformes au RGPD. Plus grave, plus de quatre sociétés sur dix (43 %), au moment de l’étude, venaient juste de prendre conscience de l’existence de ce règlement. Cependant, une enquête récente commandée par Deloitte Conseil indique que 91% des entreprises interrogées ont déjà initiées des actions en lien avec la nouvelle réglementation. Il est donc difficile d’établir un constat définitif.

 

En conséquence, peu de structures rempliront au 25 mai tous les articles du réglement. Pour les autorités, l’important au début sera de vérifier les démarches engagées. Si une PME ou une TPE ne remplit pas à 100 % les critères de transition, elle devra néanmoins prouver qu’elle y travaille assidûment. Sinon…

 

Les risques encourus

Les sanctions en cas de manquement aux obligations imposées par la réglementation sont financières et indexées sur le chiffre d’affaires de l’entreprise. Elles peuvent atteindre de 10 à 20 millions d’euros ou 2 à 4% du CA, la sanction la plus élevée sera retenue.

 

En cas de violation des données

En cas d’intrusion, les  responsables informatiques ont 72 heures tout au plus pour en retracer l’origine et agir. William Culbert  explique : « Pour être efficaces, les entreprises doivent pourvoir disposer de solutions qui leur permettent de limiter les dommages, tout en étant à même de suivre en cas d’attaque  l’activité complète des cybercriminels, en temps réel». Sur le papier c’est bien mais la réalité est souvent bien plus compliquée. Michael Bittan, associé responsable des activités cybersécurité chez Deloitte France ajoute que « certaines structures ne savent pas qu’elles sont piratées ou mettent beaucoup de temps à s’en apercevoir. Aussi, pour valider ces 72h, il faut que l’organisme fonctionne 24h/24, 7j/7. Ce n’est pas le cas de beaucoup de TPE/PME ».

 

L’importance des collaborateurs

Plus que jamais, il est indispensable de placer l’humain au cœur de la sécurité des données. Ainsi, les dégâts susceptibles d’être provoqués par une personne en interne peuvent devenir considérables si la politique de gestion des identités et des accès n’est pas optimale. Il est primordial de s’assurer que chaque collaborateur ne possède pas de droit d’accès étendu inutile à sa mission. Pour Gilles Mezari, Président de Saaswedo, « L’esprit du RGPD est celui d’un consentement éclairé des individus pour épauler la protection de leurs données personnelles. L’anticipation et la transparence sont en effet deux fondations solides pour permettre aux salariés de bien vivre l’évolution de l’entreprise dans le contexte de cette nouvelle réglementation». Bien entendu, anticiper les risques se révèle surtout financièrement préventif.

 

Le budget

Il varie au cas par cas. Pour Thierry Brun, chez IBM Software,  il y a une corrélation entre les risques et le degré d’investissement. « Le RGPD exige tant un programme de conformité juridique, inventaire, organisation, sensibilisation- qu’une transformation du système d’information. Étant donné la proximité de l’entrée en vigueur de ce règlement, une des priorités actuelles de nombreux clients consiste à évaluer les budgets de ressources, d’assistance, et de mise à niveau du système d’information tels que des études d’impacts, développement/mise en œuvre d’outils, etc… »

 

Les priorités pour l’échéance 2018

La mise en place de mesures visant à se conformer à la RGPD se présente comme un chantier chronophage et onéreux pour les entreprises. Néanmoins, pour Mathieu Pierard, Security Product Manager, Exclusive Networks : «  si le coût de la mise en œuvre de ces changements nécessaires sont élevés, ils permettent d’améliorer la gestion des données internes et externes, d’alléger les bases de données et de parfaire la documentation ». Cet investissement devrait pousser les entreprises réfractaires à gagner en efficacité et en productivité.

 

Encadré 1 :  PRIVACY BY DESIGN : Une clé de lecture : la protection des données dès la conception et par défaut

Ces exigences imposent aux entreprises d’intégrer la protection de la donnée personnelle dans la conception même des applications et des processus métiers. A titre d’exemple, la prise en compte au sein d’une future application des impacts du droit à l’oubli illustre un aspect sensible de cette exigence. Concrètement, les entreprises devront veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »). Source Coreye et IBM.

 

Encadré 2 : Données à caractère personnel, la définition :

toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. (Source CNIL)

Abonnez-vous à notre newsletter pour recevoir les dernières infos par E-mail.
Réagir à l'article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *