C’est en avril 2016 qu’une commission du Parlement européen a adopté le règlement général sur la protection des données (General Data Protection Regulation, GDPR). Applicable dès le 25 mai 2018 dans tous les Etats membres, il est « obligatoire dans tous ses éléments » et devra être respecté indépendamment de la taille de l’entreprise : autrement dit, les PME devront se mettre en conformité au même titre que les grands groupes et ce, même si la donnée n’est pas leur cœur de métier. L’application du RGPD est extraterritoriale, c’est-à-dire que les entreprises établies hors de l’UE traitant des données relatives aux activités des organisations de l’Union et les sociétés non-européennes ciblant les résidents de l’UE sont, elles aussi, concernées.
Règlement général sur la protection des données (RGPD) : PME, où en êtes-vous ?
Le règlement général sur la protection des données (General Data Protection Regulation ou RGPD) entrera en vigueur le 25 mai 2018. Son objectif : renforcer le cadre juridique relatif à la protection des données à caractère personnel dans l’Union européenne à travers plusieurs mesures visant à responsabiliser les acteurs – grands groupes, start-up ou PME – qui travaillent avec ce type de données.
Alors qu’il reste moins d’un an aux entreprises pour se mettre en conformité quant à la confidentialité, l’accès et le traitement des données collectées, sous peine de lourdes sanctions, elles sont encore nombreuses à ne pas avoir pris la mesure des aménagements à mettre en place. Mais de quoi s’agit-il exactement ? Êtes-vous concerné ? Comment vous mettre en conformité ? Nous faisons le point.
Quelles sont les principales dispositions du RGPD ?
Le RGPD permet d’harmoniser les règles relatives à la protection des données personnelles recueillies, évitant ainsi la fragmentation des lois nationales. Il est né de la volonté de permettre aux citoyens d’exercer davantage de contrôle sur leurs données. Cela passe par plusieurs mesures concrètes :
- l’instauration d’un consentement « explicite » et « positif » en amont de l’exploitation des données personnelles ;
- - le droit à l’effacement, dans les meilleurs délais ;
- - le droit à la portabilité: l’entreprise a l’obligation légale de pouvoir envoyer leurs données aux citoyens qui en font la demande, dans un format structuré et couramment utilisé, ou les transmettre directement à un autre fournisseur de services si c’est le choix de la personne concernée,
- - le droit d’être informé en cas de piratage ;
- - des exigences strictes en matière de qualité de protection, avec notamment une règle de « sécurité par défaut », qui impose à toute organisation de disposer – d’un système d’information sécurisé afin de prévenir toute violation des données ;
- mais aussi la nomination d’un délégué à la protection des données (data protection officer) en charge de la bonne conservation des données, ou la publication des politiques relatives à la vie privée dans un langage clair et compréhensible.
Les entreprises qui ne respecteront pas les différentes mesures de cette nouvelle réglementation risqueront une amende pouvant s’élever jusqu’à 4 % de leur chiffre d’affaires mondial annuel.
Le compte à rebours est enclenché
Selon une étude IDC, en mai 2017, 77% des décideurs informatiques n’étaient pas conscients de l’impact du RGPD sur l’activité de leur entreprise ou n’avaient même pas connaissance de ce règlement et de son usage… Et nombreuses étaient les petites entreprises à reconnaître que leur dispositif de sécurité actuel était limité et insuffisant, alors qu’il s’agit de l’un des points essentiels du RGPD et que, parallèlement, les menaces évoluent en permanence et les attaques informatiques contre les bases de données s’intensifient toujours davantage.
Pourtant, l’urgence est là. Et, pour Marc Mossé, directeur des affaires juridiques chez Microsoft Europe, il est essentiel de bien s’entourer :
PME. Pour les grands groupes, on va s’adapter : on investit déjà beaucoup pour être parfaitement conformes au règlement lorsqu’il sera en vigueur en 2018. Mais il va falloir aider les PME pour qu’elles soient complètement dans le nouveau modèle.
Il faut s’assurer que ce règlement, qui est parfois un peu complexe, soit accompagné d’explications, notamment pour les
La CNIL propose un plan d’action en six étapes. La première est de nommer un délégué à la protection des données, c’est-à-dire un pilote qui orchestrera les actions à mener en interne. C’est lui qui pourra notamment cartographier vos traitements de données, et vous permettra ainsi de mesurer plus précisément l’impact du GDPR sur votre activité et de prioriser les actions à mener. Si vous identifiez des traitements susceptibles d’engendrer des risques élevés, vous devrez enclencher une étude d’impact sur la protection des données (PIA).
Il est également nécessaire d’organiser les processus internes, rappelle la CNIL, puisque ce sont eux qui permettront d’assurer un haut niveau de protection des données, en permanence. Enfin, il est essentiel de documenter votre conformité, afin de pouvoir, si besoin, examiner et compléter les documents retraçant les actions menées et prévues. N’oubliez pas également de prévenir vos prestataires et partenaires de toute modification majeure de votre politique de sécurité informatique si elle a un impact sur eux.