Le nombre de cyberattaques est en forte augmentation, 15 millions au 1er semestre 2017, 35% de plus en an. Le nombre de données à caractère personnel exposées sur les réseaux aussi. Avec la digitalisation, le big data, les réseaux sociaux, les données personnelles deviennent un gisement considérable pour les entreprises. Les acteurs du net tels que Google ou Facebook l’ont bien compris. Et le Règlement général sur la protection des données (RGPD) ou en anglais General Data Protection Regulation (GDPR) a vocation à mettre un peu d’ordre.

Ce règlement applicable à compter du 25 mai 2018, donc déjà demain pour les entreprises, harmonise les différentes réglementations nationales parmi lesquelles notre bonne vieille Loi Informatique et Libertés du 6 janvier 1978. Il modifie les habitudes que nous pouvions avoir jusqu’alors. En effet, les entreprises procédaient à des déclarations auprès de la Commission Nationale Informatique et Libertés (CNIL) sur les traitements des données réalisés. Demain, avec le RGPD, les entreprises n’auront plus à faire de déclarations. En revanche, elle devront se doter d’un dispositif général de protection des données.

Le RGPD rend désormais clairement responsables les entreprises qui collectent, stockent, traitent, échangent des données à caractère personnel. Le règlement parle d’accountability. Cela suppose de se doter d’une politique sur le sujet et de désigner un Responsable Protection des données ou DPO – Data Protection Officer. Il n’est pas seulement présent pour référencer les traitements et s’assurer de leur conformité comme pouvait l’être le Correspondant Informatique et Libertés (CIL). Le DPO est un acteur clé du dispositif, car il doit évaluer et suivre les risques liés aux traitements de données, les cartographier, tenir un registre des traitements . Aussi, les responsabilités devront être clairement définis entre l’entreprise et ses sous-traitants. Enfin, les entreprises devront intégrer à leurs process les Privacy by design qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel et Privacy by default qui impose aux organisations la prise en compte des seuls traitements nécessaires.

Derrière ces nouvelles obligations qui découlent d’une logique de responsabilisation, le RGPD crée ou renforce les droits des particuliers. D’abord, les clients pourront disposer d’un accès direct à leurs informations personnelles et d’un véritable droit à l’effacement de celles-ci. Ils pourront ainsi demander la portabilité de leurs informations (données de commandes, listes d’envies) et obtenir un double consentement pour leurs enfants grâce à un cadre juridique harmonisé dans tous les pays de l’Union européenne. Aussi, les clients devront donner clairement leur consentement à la collecte et au traitement de leurs données après en avoir été correctement informés. Enfin, en cas de violation de données, le client et la CNIL devront en être informé dans les 72 heures.

Pour donner corps à cette nouvelle réglementation, les sanctions sont nettement plus importantes qu’aujourd’hui. En effet, les éventuels manquements aux obligations imposées par la réglementation seront indexées sur le chiffre d’affaires de l’entreprise. Les amendes pourront atteindre de 10 à 20  millions d’euros ou 2 à 4 % du chiffres d’affaires, la sanction la plus élevée étant retenue. Sans compter le risque d’atteinte à l’image pour l’entreprise et les dégâts que cela occasionne.

Ainsi, le RGPD a trois objectifs : renforcer les droits des personnes, responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ; crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données et des sanctions renforcées.

Néanmoins, pour se mettre en conformité, le délai restant est court au vu des nombreux travaux à mener. Dès lors, les entreprises devraient prioriser sur les sujets les plus risqués pour elles : violations de données, mis à jour des systèmes d’informations, chiffrement de données, sensibilisation des collaborateurs, gouvernance, cartographie des traitements, méthodologie.

Les sujets liés au RGPD créent des interconnexions avec le Responsable des données (Chief Data Officer – CDO) et le RSSI. En effet, cela nécessite une transversalité entre gestion des risques, conformité, données, IT et sécurité. Le RGPD conduit à intégrer davantage la conformité, via l’angle Protection des données, dans tous les aspects de conception de produits et services.

Share This