Le Règlement UE 2016/679 du Parlement Européen et du conseil du 27 avril 2016 entrera en application le 25 mai 2018. Ce texte a pour vocation d’adapter le droit aux nouvelles réalités numériques, notamment concernant la protection des données personnelles, qui sont aujourd’hui devenues une ressource clé d’une valeur inestimable pour l’économie mondiale, et une manne commerciale des plus importantes. Le SIRH est le système réunissant le plus de données personnelles et il est porté par la généralisation du mode SaaS qui ouvre la porte à de nouvelles zones de risque.
A l’échelle européenne, le règlement permet d’unifier les règles au sein de l’ensemble des pays membres. Cette règlementation poursuit un triple objectif :
Le texte adopté est un règlement européen, ce qui signifie que, contrairement à une directive, il est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres. Le même texte s’appliquera donc dans toute l’union européenne.
Conséquences du règlement sur les SIRH
De nombreuses formalités auprès de la CNIL vont disparaître, il n’y aura notamment plus de déclaration ou de demandes d’autorisation préalable à la mise en place de traitements de données à caractère personnel. En contrepartie, la responsabilité des organismes sera renforcée, comme les éventuelles sanctions.
Le texte introduit :
Si le sous-traitant est situé dans un pays non membre de l’Union, l’article 27 du règlement prévoit qu’un représentant de celui-ci devra être désigné, ce représentant devant résider dans l’état membre où se situent les données à caractères personnelles faisant l’objet d’un traitement. Le représentant est mandaté par le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du sous-traitant, pour toutes les questions relatives au traitement, aux fins d’assurer le respect du règlement.
Les craintes des entreprises : 21% redoutent des licenciements à cause des pénalités; 18% craignent même la faillite
D’après une enquête menée par le cabinet Vanson Bourne pour Veritas Technologies auprès de 900 entreprises de plus de 1.000 employés en Europe, aux Etats-Unis et en Asie, 50% des entreprises ne pensent pas être prêtes pour la mise en œuvre des modalités du règlement dans les délais impartis.
La mise en place de ce règlement inquiète les entreprises : Inquiétudes relatives au coût du projet de mise en conformité lui-même, qui, selon Veritas, s’élèverait en moyenne à 1,3 million d’euros par projet ; mais surtout, des conséquences à court terme en cas de non-conformité. Le texte prévoit en effet de très lourdes amendes pour les contrevenants : 20 millions d’euros ou 4 % du chiffre d’affaires annuel de l’entreprise.
D’après l’étude, 21% des entreprises redoutent que les pénalités n’entrainent des licenciements, 18% craignent la faillite en cas de sanction et 31% une publicité négative qui impliquerait leur marque.
Toutefois, cette crainte n’est pas la même pour tous les secteurs d’activités. Certains, comme le secteur bancaire ou celui de l’assurance sont déjà tenus par des lois de sécurité informatique strictes, notamment Bâle 2. D’autres n’ont pas cette culture de sécurité des systèmes d’informations et se trouvent moins préparés. L’étude montre que 39% des entreprises interrogées ne s’estiment pas en mesure de localiser les données en leur possession.
Ce règlement s’impose à tous, mais pourrait ne pas avoir les mêmes conséquences selon les secteurs d’activité. La crainte que ce règlement inspire montre toutefois bien qu’il est temps de cartographier sérieusement les données intégrées dans les systèmes d’informations et qu’une réelle démarche reste à enclencher !
Aurore Rimbod, consultante SIRH – mc2i Group
La traque des risques ne devrait pas se limiter à la conformité réglementaire. Ces audits…
Faute de solution miracle, les entreprises souhaitant se protéger de ce type de menaces doivent…
Une des thématiques émergentes en 2024 sera de ré-évaluer le socle constitué par le réseau…
Dans un environnement où les menaces sont de plus en plus aiguisées et où les…
Même si la directive propose un mécanisme de proportionnalité en termes d’exigence, en fonction du…
La cybersécurité est plus que concernée par les révolutions induites par l’informatique quantique. S’il est…