Pourquoi l'arrivée du RGPD fait-elle si peur ?

  Posted On   By Fabrice LE PAGE   Cybersécurité pour les entreprises

 

À quelques jours de de l’entrée en vigueur du Règlement général sur la protection des données de l’Union européenne, l’état de préparation au RGPD, au niveau mondial, accuse encore un retard considérable. Partout dans le monde, les entreprises se trouvent dans divers états de conformité, avec un bon nombre d’entre elles qui ne sont même pas encore mises sur la ligne de départ du parcours à la mise en conformité.

 

Comme l’a expliqué Pierre-Luc Refalo, Cybersecurity Strategic Consulting & GDPR Global Lead chez Capgemini, lors de la conférence RSA il y a quelques semaines, son entreprise continue de répondre à des appels d’entreprises paniquées, qui ont besoin de conseils sur la façon de se mettre en conformité au RGPD.

 

À cette occasion, il a ajouté : “Il y a des entreprises qui, un mois avant la date limite, n’ont encore rien mis en place et nous appellent pour nous demander : pouvez-vous nous aider ?”

 

Cette anecdote est étayée par une série d’études qui mènent toutes à la même conclusion surprenante : la moitié des entreprises dans le monde ne seront pas prêtes lors de la date officielle d’entrée en vigueur du RGPD, le 25 mai.

 

L’intervention de Pierre-Luc Refalo au sommet RSAC GDPR Summit a confirmé que se conformer au RGPD n’est pas un simple « exercice académique ». Contrairement à de nombreuses réglementations édulcorées des années passées, le RGPD aura des répercussions financières réelles et significatives pour les entreprises qui ne seront pas en conformité. Les dommages seront principalement de 4 types :

  • Amendes
  • Dommages à la réputation de l’entreprise
  • Arrêt du traitement des données
  • Recours collectifs en justice

 

Amendes : les autorités de protection des données du RGDP seront autorisées à donner des amendes particulièrement sévères. Les contrevenants les plus flagrants peuvent s’attendre à payer 20 millions d’euros d’amende ou 4% de leur chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Pierre-Luc a jouté que les petites entreprises qui pensent pouvoir passer inaperçues ne seront pas épargnées.

 

“Des entreprises de 1 000 à 2 000 employés dont le chiffre d’affaires n’est pas forcément très élevé peuvent tout de même traiter des dizaines de millions de données personnelles. Vu le volume de transactions très important, le risque est réel. Si on compte entre 50€ et 70€ par enregistrement dérobé, le montant des amendes peut amener l’entreprise à mettre la clé sous la porte”.

 

Dommages à la réputation : l’un des grands principes du RGPD est la transparence. Certaines des plus grandes inquiétudes auxquelles les entreprises sont confrontées ne sont pas nécessairement les amendes, mais la mauvaise publicité qui pourrait découler des sanctions du RGPD.

 

“Les entreprises s’inquiètent de voir apparaitre leur nom dans les journaux en cas de violation de données”.

 

Et ne vous méprenez pas, ce ne sera pas un type de Règlement où les entreprises ne recevront que de simples remontrances.

 

“Si votre entreprise ne répond pas aux exigences du RGPD, cela deviendra une affaire publique”, a récemment mis en garde Todd Wright de SAS. “Non seulement vos clients entendront parler de la violation de données, mais ceux qui auraient pu envisager de faire affaire avec vous à l’avenir le sauront aussi”.

 

Arrêt du traitement des données : en plus de tout le reste, les régulateurs du RGPD ont également avoir le pouvoir de stopper les opérations de traitement des données jusqu’à ce que l’entreprise se conforme. Cela peut avoir un impact financier exponentiellement plus important que les amendes, surtout si le traitement est axé sur la génération de revenu.

 

“Et si je dois stopper mon traitement ? Je ne dirai pas que les amendes ne sont pas importantes, mais pour le business, l’arrêt du traitement est beaucoup plus important”, a précisé Pierre-Luc Refalo.

 

Recours collectifs en justice : enfin, un risque supplémentaire de dommages financiers qui pourrait survenir est celui des recours collectifs, même si ce type d’actions ne sera peut-être pas utilisé dès les premiers mois du RGPD.

 

Bien qu’il existe des lignes directrices claires pour orienter les régulateurs dans la détermination des sanctions contre les entreprises non conformes, il existe un certain degré de discrétion dans le processus – un processus qui, selon Pierre-Luc Refalo, sera transparent. Le point ici est que même si une entreprise n’est pas complètement conforme, il y a de la place pour minimiser les dommages si des mesures sont prises par les organismes de réglementation contre l’entreprise.

 

Plutôt que de lever les mains en l’air, les entreprises qui n’ont pas encore fait grand-chose pour se préparer devraient reconnaître qu’il n’est pas trop tard pour s’y mettre.

 

S’il y a une mesure à court terme que les entreprises peuvent prendre pour contrôler les dommages causés par le RGPD, c’est de commencer par améliorer leurs processus organisationnels. Ce sera une façon de montrer aux organismes de réglementation que l’entreprise fait un effort, de bonne foi, pour faire avancer les choses. Cela doit être réalisé à quatre niveaux, explique Pierre-Luc Refalo :

  • Embaucher un Délégué à la protection des données (DPD)
  • Mettre en place une gestion de l’enregistrement de la protection des données
  • Mettre en place une gestion des sous-traitants (Data processors) et des tiers
  • Établir des procédures de gestion et de signalement des violations de données

 

Il ajoute : “Si vous vous conformez à ces quatre points, vous n’êtes pas trop mal. Ce n’est pas encore parfait, parce que vous avez encore tout le reste à mettre en place, mais c’est un bon début”.

 

La chose essentielle à retenir est que l’acte de se conformer est continu.

“Le 25 mai n’est que le début. Vous devez être certain que vous exécutez bien des opérations de mise en conformité au RGPD”, conclue-t-il.