Conformité au RGPD : du bâton à la carotte

[Paru le 17/10/2018 dans Les Echos ] Cinq mois après l’entrée en vigueur du Règlement général sur la protection des données personnelles (RGPD) en Europe, la Cnil fait pleuvoir les premières amendes en France. Il est urgent de se conformer. 

Ce site invite les professionnels à) laisser leurs données nominatives poru se conformer au RGPD afin d’être contactées par des commerciaux.
© Agence TCA

Après Optical Center, Dailymotion et Assistance Centre d’appels, l’Alliance française Île-de-France s’est vue infliger par la Commission nationale Informatique et Libertés (Cnil) une amende de 30 000 euros. Motif : elle a laissé accessibles 413 144 documents contenant des données à caractère personnel (DCP). Contre ce risque, susceptible d’atteindre 4% du chiffre d’affaires mondial ou 20 millions d’euros, mieux vaut se conformer au Règlement général sur la protection des données personnelles (RGPD), entré en vigueur le 25 mai dernier dans toute l’Europe.

Si cette épée de Damocles suscite un florilège d’arnaques (fausses listes des entreprises certifiées, numéros de téléphones surtaxé, guides de mise en conformité en tant que produits d’appels…), la Cnil propose une liste de prestataires labélisés* pour l’audit et la formation. On y trouve des cabinets d’avocats (Avistem, BRM, Courtois-Lebel, Haas, Harley…), des sociétés de conseil (Actecil, EY, Fidal, KPMG, TNP), ces cabinets de conseil en cybersécurité (Digitemis…). D’autres, comme Optimex Data, proposent des prestations de Data Protection Officer (DPO) externalisés ou mutualisés entre plusieurs PME. De son côté, le cabinet de cybersécurité Akerva (qui n’est pas labellisé Cnil), a élaboré deux modules de e-Learning, le premier sur la sensibilisation des collaborateurs au RGPD et le second sur la protection des données.

Pour les dirigeants désireux de savoir comment se mettre en conformité, la Cnil et Bpifrance ont réalisé conjointement le Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises**. « En 62 pages, celui-ci traite le sujet de façon simple, limpide et pragmatique », indique Dominique Soulier, administrateur au Club de la sécurité de l’information français (Clusif). « Le guide propose de passer à l’action en quatre étapes », précise Sébastien Montusclat, responsable sectoriel numérique chez Bpifrance. Il s’agit d’abord de cartographier les données personnelles et de construire le registre de leurs traitements*** (recrutement, paie, gestion commerciale…) puis de détruire celles qui sont inutiles. Reste, ensuite, à respecter l’obligation de transparence : la raison de la collecte des DCP, le processus pour les modifier ou les retirer de la base de données. Enfin l’obligation de sécuriser les données…

Le prix de l’audit et de la mise en conformité varie en fonction de l’activité et de la taille de l’entreprise et de sa maturité en cybersécurité. Les TPE et PME dont le cœur de métier ne porte pas sur les DCP peuvent établir elles-mêmes leur diagnostic qui débouche sur la tenue du registre des traitements et la sécurisation des données personnelles. En s’adressant à un cabinet d’audit, « pour 2 000 euros, elles obtiennent le registre des traitements ainsi que la revue des mentions à publier sur le site Web et les documents commerciaux (factures, CGU, CGV…) pour informer les personnes de leurs droits », détaille Morgan Marat, consultant sécurité chez Akerva. « Pour un accompagnement complet dans un cas simple, il en coûtera 10 000 à 20 000 euros à une TPE-PME, jusqu’à plusieurs millions d’euros à une multinationale », souligne Jérémy Harroch, PDG de Quantmetry, une start-up d’IA spécialisée dans la valorisation de la donnée. Dans tous les cas, il y a un volet juridique, un volet organisationnel et un volet technique.

Il est également conseillé de contracter une cyber-assurance. Cependant, « aucun assureur ne couvre le risque « diagnostic RGPD », prévient François Beaume, vice-président de l’Association pour le management des risques et des assurances de l’entreprise (Amrae). En revanche, certains proposent des assurances cyber qui prennent en charge une partie de l’exposition liée au RGPD. Entre autres, les frais de notification aux usagers, les frais de communication ainsi que de perte d’exploitation. »

Erick Haehnsen