Ce n’est pas un scoop, la mise en conformité du RGPD (Règlement général sur la protection des données) s’appliquera dans l’ensemble des États membres de l’Union européenne au 25 mai 2018.
Ce qui change ? Comment être en conformité ? Pléthore d’articles, de réunions et de formations vous informent du pourquoi et du comment. Mais réellement, êtes-vous prêt ? Avez-vous mesuré les enjeux de la mise en conformité ?
Notre expert Sphère Pme en sécurité informatique a lu entre les lignes du RGPD et vous en transmet ici des aspects insoupçonnés.
– Marc, selon votre approche du dossier RGPD, quel est le nombre d’entreprises mises en conformité dans la région Paca?
Notre tissu d’entreprises est principalement composé de pme (80%). Le constat est qu’environ 6o% se déclarent réellement concernées ou se sentent concernées et 40% ne sont pas du tout sensibilisées. Parmi les 60%, environ la moitié a entrepris une démarche ; l’autre moitié attend.
– Quel constat en tirez-vous ?
Les entreprises qui prennent le dossier avec légèreté n’ont pas compris qu’elles possédaient un patrimoine numérique qui nécessite d’être protégé et que le respect de la réglementation est stratégique.
– Justement, la démarche peut-elle être vue comme une opportunité pour l’entreprise ?
Absolument. Le premier avantage est la mise en place d’éléments assurant la sécurité informatique de l’entreprise. Un vol de données commerciales n’est pas bon pour le commerce de l’entreprise, et encore moins pour sa renommée. Voyez le cas d’Uber en fin 2017. La cybercriminalité n’est pas réservée aux plus grands. Une personne mal intentionnée peut facilement agir contre tout type d’entreprise.
A ce jour, la mise en conformité est une différenciation par rapport à la concurrence.
Mais au-delà du 25 mai, les grands donneurs d’ordre ne pourront plus travailler qu’avec des prestataires en conformité. Il sera donc essentiel de respecter la réglementation pour préserver ses relations commerciales avec ses partenaires.
– Quel type d’entreprise est concerné par le RGPD ?
En fait, tout type d’organisation, c’est-à-dire toute entreprise, voire toute association ou CE (comité d’entreprise).
Il faut savoir que la démarche de mise en conformité est plus ou moins lourde, selon le métier concerné et la complexité des réajustements à faire.
– Au-delà des contrôles que peut exercer la CNIL et des risques encourus de sanction, à quoi s’expose l’entreprise non conforme ?
Il est important de comprendre que tout acteur lié à l’entreprise peut demander à consulter la politique mise en place visant au respect de la réglementation. Par tout acteur, j’entends clients et fournisseurs notamment. En effet, un donneur d’ordre peut poser la condition que tout prestataire ne remplissant pas les critères ne sera plus retenu.
Ensuite, toute personne physique dont vous avez collecté les données et qui constate que, malgré votre information de respect des normes, vous avez exploité ses propres données sans l’en avertir, peut saisir la CNIL en vue de faire respecter son droit. S’il est constaté effectivement que vos écrits ne correspondent à la réalité, vous êtes susceptible d’être audité, voire sanctionné, par la CNIL.
Les éventuelles sanctions seront alourdies s’il est constaté qu’aucune démarche de mise en conformité n’avait été entamée. Selon la gravité et l’étendue des préjudices avérés, le cas pourrait arriver devant un tribunal pour des sanctions pénales.
– Cela signifie-t’il qu’un client peut exiger des clauses particulières dans les documents commerciaux ?
Absolument. Tout client, et notamment tout donneur d’ordre, peut demander que soit inscrite dans les conditions générales de vente une clause de responsabilité des données.
Par exemple, une entreprise qui externalise sa comptabilité peut tout à fait exiger une telle clause dans le contrat qui la lie au cabinet comptable du fait qu’elle adresse, lors des payes, des données personnelles de ses salariés. Les données transitant par un serveur, le cabinet comptable est co-responsable avec l’entreprise car il reçoit et traite des données à caractère personnel.
Un donneur d’ordre peut être amené à dénoncer un marché si la réglementation n’est pas respectée.
– Un salarié peut-il également se retourner contre son employeur si un problème intervient à ce niveau de transmission des données ?
Parfaitement. Il y a une chaîne de responsabilités qui existe entre les différents intervenants collectant et gérant des données personnelles.
Un salarié peut demander à connaitre ce qui est fait des données le concernant. Et en cas de défaillance, le salarié peut se retourner contre son employeur pour ne pas avoir pris les mesures nécessaires pour la protection de ces données, voire en informer la CNIL.
– Vous proposez une intervention en entreprise. Expliquez-nous sa particularité.
La mise en conformité touche à 2 socles essentiels de la vie de l’entreprise : le juridique et l’informatique. L’offre propose une intervention en binôme composé d’un avocat, experte en droit numérique, et d’un expert en sécurité informatique.
Le volet juridique permet de vérifier s’il y a une exploitation de données sensibles au sein de l’entreprise. Le volet technique vérifie que le mécanisme informatique de l’organisation facilite la mise en conformité avec le RGPD.
Par exemple, pour ma partie, si je constate qu’il y a défaut de protection des postes nomades (cryptage, anti malware, authentification forte, DLP), je mettrai en évidence le risque encouru pour les données personnelles de ses salariés et de ses clients. J’émettrai alors des préconisations techniques précises.
Pour autre exemple, un point essentiel étant la capacité à continuer son activité en cas de sinistre et à reconstituer de la donnée à caractère personnel. Si aucune réponse organisée à ce sinistre n’existe, nous émettrons une alerte et des préconisations adaptées (PRA-Plan Reprise d’Activité).
Notre intervention débute par un pré-bilan juridique et technique. L’analyse qui suit est également double.
Sur le plan juridique, il est défini à quel niveau de complexité l’entreprise se situe par rapport à la réglementation.
Le volet technique, lui, énonce les points de sécurité informatique qu’il est préférable de mettre en place.
La note restituée hiérarchise les actions à mener avec le client pour se mettre en conformité.
—
La Sphère Informatique est Telecom est au service de votre développement.
Vous souhaitez mettre votre entreprise en conformité avec le RGPD ? Contactez-nous : contact@sphere-pme.fr ou 04 84 49 23 95.
>> Lire également : »RGPD : faut-il le craindre pour son marketing ? »