4 lettres qui inquiètent les entreprises : GDPR ou RGPD
A un an de l’entrée en vigueur du texte, l’impréparation règne. Ces quatre lettres («GDPR», ou «RGPD» pour la version française), qui ne suscitaient jusqu’alors que peu de réaction dans les états-majors, sont aujourd’hui le cauchemar de nombreux dirigeants d’entreprise.
Je m'abonneA un an de l’entrée en vigueur du texte, l’impréparation règne. Ces quatre lettres («GDPR», ou «RGPD» pour la version française), qui ne suscitaient jusqu’alors que peu de réaction dans les états-majors, sont aujourd’hui le cauchemar de nombreux dirigeants d’entreprise. Dans un an précisément, le règlement général sur la protection des données (RGPD) entrera en vigueur dans l’Union européenne.
Pourtant, les entreprises n’ont pas devancé les souhaits du législateur. Il ressort, selon Les Échos, d’une enquête réalisée par le cabinet Vanson Bourne pour le compte de Veritas Technologies auprès de 900 entreprises de plus de 1.000 employés en Europe, aux Etats-Unis et en Asie, que la moitié d’entre elles pense ne pas être en conformité avant la date fatidique du 26 mai 2018. Plus encore que la volonté de bien faire, la peur du gendarme joue à plein. Le texte, qui encadre strictement l’utilisation de données à caractère personnel de citoyens européens par les entreprises, associations ou administrations, prévoit de fortes amendes pour les contrevenants : 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’entreprise, le montant le plus élevé étant celui retenu.
Selon Veritas, 86 % des entreprises interrogées s’inquiètent des répercussions qu’entraînerait un défaut de conformité.
Les plus évidentes sont financières. Le poids des pénalités fait redouter à une entreprise sur cinq de devoir réduire ses effectifs en cas d’amende. Une même proportion redoute carrément d’avoir à mettre la clef sous la porte si elle devait être prise en faute. Un autre tiers des entreprises s’inquiète de la mauvaise publicité que lui vaudrait une non-conformité avec le nouveau règlement et pourrait dévaloriser la marque (12 % des entreprises interrogées) ou faire perdre des clients (19 %).
Si le règlement s’appliquera indifféremment aux entreprises européennes et à celles qui opèrent hors des frontières de l’Union mais manipulent des données de citoyens européens, les entreprise étrangères ont les craintes les plus importantes. Il y aura forcément des exemples et personne ne veut en faire partie.
Au sein de l’Union, les entreprises allemandes vont plus vite et ont déjà réalisé des audits complets. Certains métiers, comme l’assurance, la banque ou la publicité ont l’avantage d’être un peu plus prêts, du fait de réglementations sectorielles comme les accords de Bâle ou la loi Hamon.
En revanche , pour d’autres, la tâche est immense : 39 % des entreprises interrogées s’estiment incapables de localiser les données en leur possession, alors que le RGPD leur imposera de les communiquer ou de les effacer dans un délai d’un mois à la demande de la personne concernée.
En outre, au sein de l’entreprise après avoir cartographié correctement l’ensemble des données détenues par les divers services de l’entreprise, sur tous supports, il faut encore mettre en place les procédures pour gérer leur protection et, à terme, leur anonymisation ou leur destruction.
Le RGPD étend la responsabilité des entreprises quant au traitement des données. Les employeurs devront obtenir le consentement des clients et salariés pour les conditions d’utilisation de leurs données personnelles, qui devront être documentées et gérées par un Data Officer ou « délégué à la protection des données ».
A moins d’1 an de l’entrée en vigueur du règlement, voici un florilège de questions que nous rencontrons souvent lors de nos audits de traitement de données :
- Quelles sont les bonnes pratiques du marché ? Quelle organisation ? Quelle feuille de route ? Quels outils ?
- Comment assurer la gouvernance du programme RGPD via le registre, la gestion des PIA ?
- Comment mettre en place un registre de consentements fiables pour les cookies ?
- Comment assurer l’exploration et l’effacement des données personnelles ? Comment mettre en place la restitution des données en matière de portabilité ? Avec quels outils ?
- Comment assurer la sécurité et la protection opérationnelle des données ? Avec quels outils ? etc.
Pourtant ces quatre lettres RGPD devraient être considérées par les entreprises comme une véritable opportunité assurant la confiance et la conformité des traitements mis en place. Si le traitement est l’or noir du XXIe siècle, alors l’application du RGPD pour l’entreprise est la garantie de son efficacité économique et juridique et par conséquent de sa valeur.
Si vous avez des questions sur ce sujet, n'hésitez pas à nous contacter.
Je m'abonne