Selon une inquiétante étude menée par IDC parue en juin dernier, à un an de l'échéance, seulement 9 % des entreprises françaises se déclaraient conformes au règlement européen sur la protection des données personnelles. Plus grave, plus de quatre sociétés sur dix (43 %) prenaient seulement conscience de l'existence du RGPD. Les nouvelles règles qui entreront en vigueur le 25 mai 2018 ont été instaurées pour que les citoyens de l'UE contrôlent mieux la façon dont les entreprises et les organisations utilisent leurs données personnelles.
Les pénalités encourues par les entreprises en cas de non-respect des nouvelles règles pourront aller jusqu'à 20 millions d'euros ou 4 % de leur chiffre d'affaires total mondial. Si une entreprise n'a encore rien mis en place pour se préparer au RGPD, il est temps de s'y mettre. Et pour nos voisins britanniques, si les entreprises comptaient sur le Brexit pour échapper à cette législation, elles font définitivement fausse route car l'entrée en vigueur du RGPD est prévue avant la sortie du Royaume-Uni de l'Union européenne. Toutes les sociétés doivent donc impérativement se préparer. Pas question de se reposer sur ses lauriers avec ce Règlement.
Programme en six étapes pour aider toutes les entreprises à se préparer en vue du RGPD.
Étape no 1 : Se former
D'après ce même rapport, 14 % des petites entreprises avouaient ignorer à quoi correspond le RGPD. En fait, à peine 7 % des entreprises ayant répondu à l'enquête déclaraient comprendre parfaitement les règles du RGPD. Quelles que soient les connaissances sur le sujet, une piqûre de rappel ne peut pas faire de mal et permettra de mieux appréhender le fonctionnement de ce règlement.
L'instauration du RGPD vise notamment à responsabiliser les entreprises en cas de violation et de perte de données. En clair, non seulement une entreprise doit mettre en place des fonctions de sécurité, mais elle doit également bien appréhender le mode opératoire des hackers. Que l'on soit directeur d'un pôle métier ou responsable du département des systèmes d'information (DSI), c'est à nous de mener la transformation et d'en comprendre tous les risques.
Étape no 2 : Faire appel à une société spécialisée dans la cybersécurité
Si les règles concernant la législation à venir ne semblent pas limpides pour une société, il est important qu'elle puisse faire appel à une entreprise ou un expert qui maîtrise le sujet. Il est donc vital de choisir une société de cybersécurité compétente et expérimentée qui propose un large éventail de prestations autour du RGPD. Elle sera en mesure d'auditer le système actuel afin d'en déterminer le degré de préparation. L'on peut également compter sur son aide pour la mise en œuvre des nouveaux éléments du système.
Étape no 3 : Mener une opération d'évangélisation en interne
Il est essentiel que le département informatique ne soit pas seul à tenter de démêler les fils. Tout le monde dans l'entreprise doit être sensibilisé aux nouvelles règles concernant le règlement sur la protection des données. En se mettant en conformité avec ces règles, il faudra probablement modifier la politique globale de l'entreprise, mais le fait de tenir toute son équipe informée permettra à l'entreprise de procéder en bonne et due forme.
Étape no 4 : Partir de sa politique de sécurité informatique actuelle
Une fois que l'on maîtrise les tenants et les aboutissants du Règlement et ses implications pour son entreprise, il est nécessaire d'analyser la manière dont l'on traite actuellement les données ainsi que les mesures de sécurité informatique. Il est primordial d'examiner les types de données que l'entreprise recueille auprès de ses clients, ainsi que l'endroit où elle les stocke. Avec le nouveau règlement RGPD, les clients sont en droit de demander aux entreprises d'effacer leurs données personnelles — ce que toute entreprise doit être en mesure de faire. Par conséquent, toute organisation doit peut-être entièrement revoir sa méthode de stockage des donnée
Si une entreprise a une bonne idée de l'organisation de son système actuel, elle saura identifier les éléments conformes au Règlement, et ceux à modifier.
Étape no 5 : Modifiez votre politique de confidentialité
Pour de nombreuses entreprises, la politique de confidentialité — ou de protection de la vie privée — n'est qu'un document juridique à respecter, peu utile au quotidien. Aussi, aura-t-on facilement tendance à oublier de modifier cette politique de confidentialité. Actuellement, s'ils n'acceptent pas que leurs données soient stockées, les clients doivent expressément indiquer leur refus (opt-out) — ce que beaucoup ignorent. Avec le règlement RGPD, les clients devront consentir explicitement au stockage de leurs données (opt-in), ce qui devrait permettre une plus grande équité.
Étape no 6 : Préparez-vous aux évaluations
Cette législation étant prise très au sérieux, les entreprises seront très probablement évaluées afin de vérifier la conformité de leurs politiques avec les règles. N'imaginons pas prouver notre innocence en invoquant notre ignorance des règles : tout manquement sera sanctionné. Dans la perspective du RGPD, il faut se mettre en règle le plus tôt possible pour laisser le temps à toute l'entreprise de se familiariser avec le Règlement d'ici son entrée en vigueur.
Ces étapes aideront toute entreprise à se préparer aux changements juridiques, mais pas seulement. Les entreprises devraient pouvoir mieux se protéger et faire face aux violations de sécurité ; c'est là tout l'enjeu du RGPD. La mise en place de stratégies et de systèmes appropriés peut permettre à son entreprise de rester en sécurité pendant de nombreuses années.