Le Journal des Entreprises : Le Règlement général de protection des données (RGPD) est entré en vigueur depuis le 25 mai, de quoi s’agit-il concrètement ?
Vincent Oger : C’est un règlement européen qui s’applique à tous les organismes, qu’ils soient du secteur privé ou public et peu importe leur taille. Le but est de vérifier que la collecte des données personnelles par les entreprises est proportionnée, en lien avec leurs activités et que ces informations sont sécurisées.
Jusqu’à présent, il existait en France la loi informatique et libertés. Avec le RGPD il sera désormais possible d’infliger des sanctions allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, si les obligations ne sont pas respectées. Des condamnations au pénal sont aussi possibles. Le RGPD impose notamment à une entreprise de fournir, sur demande, les données collectées, ainsi que leur traitement, soit comment elles sont utilisées et le profilage défini. Autre obligation : les informations doivent pouvoir être supprimées ou anonymisées. Enfin, une société doit justifier qu’elle est capable de détecter les cyberattaques et de s’en protéger.
Concrètement, que doit changer une entreprise pour s’adapter à ce règlement ?
V.O : Il va falloir commencer par recenser les traitements de flux de données en impliquant les services marketing, commercial, IT mais aussi RH et juridique. Certaines applications ou logiciels utilisés devront être revus pour s’assurer qu’ils permettent de supprimer ou d’anonymiser les données personnelles qu’ils contiennent. Aujourd’hui cela peut empêcher l’entreprise de répondre aux demandes de ses clients ou prospects.
« Certaines entreprises profitent du RGPD pour cartographier et sécuriser leurs autres données sensibles, comme la R&D, la propriété intellectuelle, etc. »
Une société doit également s’assurer, lors de la collecte d’informations, que le consentement est explicite. Sur Internet, cela signifie, par exemple, qu’il n’y aura plus de case pré-cochée, mais cela passe également par la sensibilisation des salariés, notamment ceux ayant un contact avec les clients et prospects. La CNIL propose un guide en six étapes pour se mettre aux normes. Nous recommandons aussi de se faire accompagner dans ces changements par une équipe pluridisciplinaire pour avoir une approche à la fois système, processus, mais aussi juridique, pour s’assurer par exemple de la conformité des contrats et prestataires. Autre cas particulier, le droit à l’oubli ne peut pas totalement s’appliquer sur les données d’un salarié, du fait de la relation employeur-employé.
Au-delà de l’aspect réglementaire, qu’apporte le RGPD ?
V.O : Selon moi, le RGPD est une formidable opportunité que les dirigeants doivent saisir pour reprendre la main sur ce sujet qui est fonctionnel, avant d'être technique. Cela permet de faire un point sur les données en sa possession pour pouvoir prioriser ses actions de cybersécurité. Certains de nos clients profitent de ce projet pour cartographier et sécuriser les autres données sensibles comme la R&D, la propriété intellectuelle, les secrets de fabrication ou encore les tarifs fournisseurs. On passe d’une logique de réaction à une logique d’anticipation.
Nous recommandons aux entreprises de suivre une approche par les risques, c’est-à-dire d’inventorier les données, puis de hiérarchiser les actions à mener, en commençant par la sécurisation des données sensibles. L’actualité nous montre que les dégâts d’une cyberattaque peuvent être irréversibles.
