RGPD: comment les entreprises se préparent au grand chamboulement

Le 25 mai 2018, toutes les organisations publiques et privées européennes devront protéger les données personnelles et sensibles de leurs clients avec une protection optimale et être en mesure de le démontrer. À défaut, les sanctions seront de 4 % du CA et jusqu’à 20 millions d’euros.

Le RGPD (Règlement général sur la protection des données) introduit dans le droit européen une rupture majeure par rapport aux précédentes législations, eu égard à l’ampleur des sanctions.

Il repose sur trois piliers. D’une part, la législation avec la nomination d’un CDO (Chief Data Officer) pour les organisations de plus de 250 collaborateurs, la documentation des règles internes, etc. D’autre part, un pilier technologique avec la gestion des failles, la traçabilité et le chiffrement des données, le périmètre à protéger, la prévention des fuites d’informations. D’ici à fin 2017, les organisations devront travailler à la protection des données privées dès la conception des outils (privacy by design). Enfin, le RGPD concerne la protection spécifique des données, à savoir leur inventaire, la gestion des durées de conservation, la portabilité des informations, le droit à l’oubli et l’anonymisation des données. La réglementation ne s’impose pas seulement aux entreprises européennes, mais aussi à toutes celles qui sont en relation avec des organisations de l’UE.

L’étude de Compuware, éditeur mondial de logiciels pour mainframes, réalisée en avril 2017, montre qu’il y a encore beaucoup de travail pour les entreprises européennes et américaines pour se conformer à la réglementation. En France la majorité des organisations ne sont pas encore en conformité avec le RGPD et seuls 43 % d’entre elles ont mis en place un programme complet de conformité. Il s’agit d’une légère amélioration par rapport à la même date en 2016, soit 10 % de plus.

La cybersécurité n’est pas encore un sujet prioritaire

Après les attaques mondiales des malwares WanaCry en mai 2017 et Petya fin juin, toutes les organisations devraient être sensibilisées aux lourds dommages des cyberattaques et leurs conséquences éventuelles sur la protection des données. Pour autant, selon l’enquête Deloitte Cyber 2016, seuls 7 % des organisations françaises considéraient encore la cybersécurité comme un sujet prioritaire.

Plus précisément, 60 % d’entre elles ne disposent pas de solutions de traçabilité des accès aux données personnelles et la même proportion n’a aucune procédure de notification des alertes. Pour les entreprises, le périmètre à auditer et à protéger est très étendu. Il concerne le marketing avec la personnalisation des produits et services, les ressources humaines (recrutement, gestion de carrière, suivi du temps de travail) et la recherche & développement pour anticiper les opportunités en créant des modèles prédictifs pour les ventes.

Outre ces périmètres classiques, il reste encore à appliquer les mesures de protection sur le shadow IT, à savoir, les outils de travail personnels comme les ordinateurs portables, tablettes et smartphones utilisés dans le cadre professionnel. L’identification des niveaux de risque doit porter sur la licéité des procédures, les rôles et responsabilités, la sécurité, l’information aux collaborateurs, la durée de conservation et les droits d’accès à ses informations. Cela suppose la vérification des API, cookies, codes d’applications partagés entre plusieurs « métiers », etc. Le but à terme est de restaurer la confiance et l’éthique du public et des clients grâce à un renforcement décisif de la protection des données personnelles.