Protection des données personnelles : le retard des entreprises

Le GDPR fait trembler les entreprises ! L’acronyme anglais du Règlement Général sur la Protection des Données inquiète les professionnels car il impose la mise en place de nombreuses mesures complexes. Ce nouveau Règlement européen (RGPD) n° 2016/679 du 27 avril 2016 sur la protection des données est applicable à compter du 25 mai 2018.

Pour schématiser, il renforce la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés en vigueur en France. Évolution majeure : la notification des attaques informatiques et des failles de sécurité entrainant des fuites d’informations à caractère personnel.

Avec le GDPR, toutes les entreprises (y compris les sites de e-commerce) auront l’obligation de notifier les violations de données personnelles, contrairement à la Loi de 1978 qui ne concerne que les fournisseurs de services de communications électroniques.

Selon l’article 33 du RGPD, cette notification doit intervenir dans les 72 heures à compter de sa connaissance auprès de l’autorité de contrôle (en l’occurrence, la CNIL) et lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne. L’entreprise, victime de cette fuite de données, doit également avertir par lettre recommandée avec AR tous ses clients et salariés.

En cas de non-application du RGPD, l’entreprise encourt des sanctions financières allant jusqu’à 4 % du chiffre d’affaires mondial annuel, limité à 20 M€. (Article 83.6 du Règlement).

Par ailleurs, ce règlement renforce la protection des citoyens. Les entreprises doivent obtenir un consentement explicite de la part de l’utilisateur final quant à l’utilisation ou au stockage de ses données privées. Elles doivent permettre la portabilité des données personnelles aux utilisateurs qui en feraient la demande. Ces derniers bénéficient d’un droit à la suppression de ses données personnelles par l’entreprise qui les traite.

Devant de telles contraintes, les entreprises doivent adopter des mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données nécessaires au regard de leurs besoins soient traitées (autrement appelé le « Privacy by Design »). Ces mesures techniques peuvent prendre plusieurs formes :

• la pseudonymisation et le chiffrement des données ;
• des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement…

Elles doivent obligatoirement nommer un délégué à la protection des données (Data Privacy Officer-DPO). Celui-ci sera le référent et s’assurera de la bonne mise en œuvre et du contrôle des traitements par mandat des utilisateurs et de l’administration.

Pour des nombreuses entreprises, quelles que soient leur taille et activité, ce GDPR est très contraignant et complexe. Résultat, de nombreuses études indiquent qu’elles ne sont pas encore prêtes.

Cette situation, anxiogène pour de nombreux chefs d’entreprise de PME, devrait profiter aux sociétés spécialisées dans la sécurité informatique. D’après le cabinet d’études Canalys, les ventes de licences et d’équipements en protection des systèmes d’information devraient progresser de 16 % (à 11,5 Md$ l’an prochain sur le vieux continent.) l’année prochaine.

Cette même étude signale que de nombreuses PME se tourneront vers leur prestataire de services IT pour ne pas avoir à payer les amendes prévues.

Par Philippe Richard