Delicious Digg Facebook Favorites More Stumbleupon Twitter

RGPD : est-il réellement trop tard pour entrer en conformité ?

Le 25 mai 2018, toutes les entreprises, quel que soit leur pays d’origine, devront être conformes au nouveau Règlement général sur la protection des données (RGPD).


Approuvée en avril 2016 et particulièrement médiatisée ces derniers mois, la nouvelle réglementation vient renforcer les obligations des entreprises concernant le traitement des données des citoyens européens. PME, startups et grands groupes doivent prendre les dispositions nécessaires pour mieux localiser et protéger les données personnelles collectées en interne. A terme, l’objectif du RGPD est de réduire les risques d’exploitation des données des entreprises en cas de faille ou de piratage informatique et de renforcer les droits individuels. Il s’agit aussi de construire un cadre juridique uniforme pour tous les états membres de l’Union Européenne.

Les grands défis du RGPD

Très vite, le RGPD s’est annoncé comme un défi, car pour être en mesure d’y répondre, les entreprises doivent revoir leur organisation et les procédures de traitement des données en interne. La plupart doivent recourir à un audit de sécurité, pour pouvoir ensuite intégrer des solutions adéquates qui garantissent la sécurité des données. Les craintes des entreprises n’ont pas tardé à se faire sentir, la majorité qualifiant le RGPD de véritable  » bombe à retardement » ou encore de  » contrainte ». Et ce n’est pas anodin quand la réglementation stipule que celles qui seront non conformes à la date butoir, seront condamnées à régler une amende pouvant aller jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaires mondial.

Entreprises : un niveau de préparation encore critique

Aujourd’hui, la majorité des entreprises ne sont pas encore prêtes. En avril 2017, seulement 2% de celles qui se disaient prêtes pour le RGPD étaient réellement conformes aux exigences de la législation[1]. Quelques mois plus tard, en février dernier, 26 % des sociétés européennes étaient totalement conformes au nouveau texte[2]. Les raisons d’un tel retard sont multiples : une loi pas forcément bien identifiée au départ qui explique que la majorité des entreprises ont perçu le RGPD comme une réglementation purement juridique, et se sont donc attachées à tenir principalement un registre de traitement des données. A cela s’ajoute le coût des projets de mise en conformité qui est une cause de la lenteur des entreprises.

Ces dernières ne réalisent que maintenant l’ampleur du travail qui reste à faire d’un point de vue technique et organisationnel en interne.

La clé : se conformer sans céder à la panique

Mais s’il est maintenant évident qu’une part importante des entreprises ne seront pas prêtes le 25 mai 2018, elles ne doivent pas pour autant céder à la panique : Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés (Cnil) a assuré qu’elle ferait preuve de souplesse en matière de contrôle, et a affirmé sa volonté d’accompagner les entreprises dans leur transition pendant encore plusieurs mois[3]. En cas de contrôle de l’autorité responsable, les entreprises doivent prouver qu’elles ont initié les mesures nécessaires pour s’assurer que les données collectées soient bien protégées.

L’objectif principal pour les entreprises est maintenant d’utiliser à bon escient les quelques semaines qui les séparent de la date butoir pour  » poser les fondations » et se préparer à répondre aux exigences de la réglementation. Pour y parvenir, la première des priorités est d’insuffler une culture de la conformité en interne afin de s’assurer que tous les effectifs, quel que soit leur cœur de métier, aient bien compris les enjeux de la mise en conformité. Il s’agit donc de concevoir l’équipe qui sera responsable du processus de mise en conformité. Cette dernière doit absolument cibler tous les métiers concernés (informatique, juridique, commercial, marketing, etc.) et avoir à sa tête un profil sensible à ces multiples compétences. L’objectif est de créer une bonne dynamique au changement en instaurant par exemple des cellules de travail, chargées d’initier la transition entre les différents départements, mais aussi en organisant des sessions de formation et de sensibilisation en interne. L’acquisition de ces nouvelles compétences pourrait être vérifiée par exemple via un rapide questionnaire envoyé aux employés pour s’assurer de leur implication. A terme, les entreprises pourraient même accorder des primes ou des bonus aux employés qui respectent le mieux la réglementation.

Avec des collaborateurs formés à ce changement profond, les entreprises seront beaucoup plus convaincantes auprès de leurs clients et du grand public. Autre point important : ces dernières ne doivent pas hésiter à communiquer sur leur engagement, en dévoilant, de manière tout à fait transparente, comment les données sont utilisées et quels soins particuliers sont apportés pour les préserver et garantir la confidentialité. Adopter la démarche de la transparence leur permettra non seulement d’asseoir leur forte identité de marque, mais aussi d’instaurer un climat de confiance et d’initier de nouveaux parcours clients.

Et c’est seulement après avoir effectué ce travail qu’elles pourront s’attaquer au chantier de la conformité technique en réalisant par exemple, une cartographie des données personnelles en leur possession, pour identifier les zones de risques potentiels et évaluer leur niveau de sécurité.

Le RGPD est une opportunité pour les entreprises de devenir non pas les propriétaires mais les gardiennes des données personnelles. Il est donc fondamental de commencer par un changement éthique pour transmettre la valeur des données aux employés et de rassurer les clients. Et c’est seulement après avoir initié ce changement de culture en interne que les entreprises pourront prendre en main le chantier purement technique.

Source:: Global Security Mag

Intrusio

Trop curieux pour ne pas le faire, trop honnête pour ne pas le dire.