Attention, sanctions possibles ! Les entreprises avaient jusqu’au 25 mai 2018 pour se mettre en conformité avec le règlement général sur la protection des données (GDPR). Sous peine de lourdes amendes… Pourtant, de nombreuses entreprises, notamment des PME, n’ont pris aucune des mesures nécessaires. Mais de quoi s’agit-il exactement ? Êtes-vous concerné ? Comment vous mettre en conformité ?

RGPD : toutes les entreprises concernées

Le RGPD, Règlement Général sur la Protection des Données (GDPR en anglais, pour General Data Protection Regulation), est applicable dès le 25 mai 2018 dans tous les Etats membres de l’Union européenne. Adopté en avril 2016 par le Parlement européen, le RGPD est « obligatoire dans tous ses éléments » et devra être respecté indépendamment de la taille de l’entreprise. Autrement dit, les PME comme les grandes entreprises doivent se mettre en conformité, et ce, même si la donnée n’est pas leur cœur de métier.

A LIRE AUSSI » Assurez votre conformité GDPR grâce au cloud

De plus, l’application du RGPD est extraterritoriale, c’est-à-dire que les entreprises établies hors UE qui traitent des données relatives aux activités des organisations de l’Union et les sociétés non-européennes ciblant les résidents de l’UE sont elles aussi concernées.

Quelles sont les principales dispositions du RGPD ?

Le RGPD permet d’harmoniser les règles relatives à la protection des données personnelles, évitant ainsi la fragmentation des lois nationales. Il est né de la volonté de permettre aux citoyens d’exercer davantage de contrôle sur leurs données.

Cela passe par plusieurs mesures concrètes :

-  l’instauration d’un consentement « explicite » et « positif » en amont de l’exploitation des données personnelles ;

-  le droit à l’effacement, dans les meilleurs délais ;

-  le droit à la portabilité : l’entreprise doit pouvoir envoyer leurs données aux citoyens qui en font la demande, dans un format structuré et couramment utilisé, ou les transmettre directement à un autre fournisseur de services si c’est le choix de la personne concernée ;

-  le droit d’être informé en cas de piratage ;

-  des exigences strictes en matière de protection, avec notamment une règle de « sécurité par défaut », qui impose à toute organisation de disposer d’un système d’information sécurisé ;

-  mais aussi la nomination d’un délégué à la protection des données ou la publication des politiques relatives à la vie privée dans un langage clair et compréhensible.

Les entreprises qui ne respectent pas ces différentes mesures risquent une amende pouvant s’élever jusqu’à 4 % de leur chiffre d’affaires mondial annuel.

> Consultez le texte intégral sur le site de la CNIL.

Des entreprises impliquées mais en retard

Avec l’entrée en vigueur du GDPR, l’implication des organisations augmente. 50% visaient une mise en conformité à l’échéance, selon une étude IDC de février,  alors qu’elles n’étaient que 28% en juin 2017. Néanmoins, la part des entreprises se déclarant d’ores et déjà prêtes en février a peu progressé : 8%, contre 9% en juin 2017. Au final, la moitié des organisations accusaient un retard plus ou moins important. 24% visent une mise en conformité d’ici la fin de l’année 2018, 10% en 2019 et les 16% restants n’en sont encore qu’au stade de la prise de conscience.

« GDPR : 50% des entreprises pas encore en conformité »

IDC - février 2018 (Tweet)

Par ailleurs, de nombreuses entreprises reconnaissent que leur dispositif de sécurité actuel reste insuffisant. Il s’agit pourtant de l’un des points essentiels du RGPD, un point d’autant plus important que les menaces évoluent en permanence et que les attaques informatiques s’intensifient. Bref, l’urgence est là. Et, pour Marc Mossé, directeur des affaires juridiques chez Microsoft Europe, il est essentiel de bien s’entourer.

« Il faut s’assurer que ce règlement, qui est parfois un peu complexe, soit accompagné d’explications, notamment pour les PME. Pour les grands groupes, on va s’adapter : on investit déjà beaucoup pour être parfaitement conforme au règlement lorsqu’il sera en vigueur en 2018. Mais il va falloir aider les PME pour qu’elles soient complètement dans le nouveau modèle. »

Marc Mossé, directeur des affaires juridiques, Microsoft Europe

RGPD : le plan d’action de la CNIL

La CNIL propose un plan d’action en six étapes. La première est de nommer un délégué à la protection des données, c’est-à-dire un pilote qui orchestrera les actions à mener en interne. C’est lui qui pourra notamment cartographier vos traitements de données, et vous permettra ainsi de mesurer plus précisément l’impact du RGPD sur votre activité et de prioriser les actions à mener. Si vous identifiez des traitements susceptibles d’engendrer des risques élevés, vous devrez enclencher une étude d’impact sur la protection des données (PIA).

Il est également nécessaire d’organiser les processus internes, rappelle la CNIL, puisque ce sont eux qui permettront d’assurer un haut niveau de protection des données, en permanence. Enfin, il est essentiel de documenter votre conformité, afin de pouvoir, si besoin, examiner et compléter les documents retraçant les actions menées.