Le RGPD est un mal pour un bien : une meilleure gestion des données personnelles améliorera la cybersécurité de l’entreprise, mais surtout la confiance du consommateur
Loin des contraintes et lourdeurs soulevées lors de son adoption en 2016, la mise en conformité au RGPD porte en elle pour les organisations de très nombreuses opportunités. La protection des données personnelles imposée par le règlement européen permettra de redonner confiance aux citoyens dans leurs entreprises, ainsi qu’une avance concurrentielle à ces dernières. Elle aura également pour conséquences une meilleure gestion des données collectées, et de facto une diminution des cyber-risques. À condition d’être prêt le jour J.
par Sophie Sebirot
Qualifié d’épouvantail chronophage, coûteux et complexe à mettre en œuvre lors de son adoption en 2016, le Règlement général sur la protection de données (RGPD) est désormais, à quelques semaines de sa mise en application, paré de maintes vertus. Un changement d’optique que Jean Lessi, secrétaire général de la Cnil (Commission nationale de l’informatique et des libertés), explique par trois raisons : “les entreprises se sont rendu compte que cela correspondait à une demande des consommateurs, due à l’augmentation de leur maturité digitale ; ensuite, alors que les entreprises estimaient que le RGPD était un frein pour les Européens, elles se sont rendu compte qu’il constituait un avantage compétitif au niveau international, chose que les Gafa ont de leur côté bien comprise ; par ailleurs, l’effort pédagogique réalisé par la Cnil et les autres acteurs a porté ses fruits. Nous avons démythifié le RGPD”. Les cyberattaques de 2017, ainsi que les scandales à répétition autour de fuites massives de données passées sous silence pendant des mois, y sont sans doute aussi pour beaucoup. Les consommateurs ont réalisé que leurs données personnelles pouvaient être disséminées dans la nature à leur insu, ce qui a entamé leur capital confiance dans les sociétés incriminées.
La confiance avant tout
Dans ce contexte, les acteurs économiques ont pris conscience que la conformité au RGPD pouvait aller bien au-delà des contraintes imposées par ce dernier. “Le principal avantage du RGPD est de redonner confiance aux citoyens dans les entreprises ; toute fuite de données est devenue aujourd’hui totalement inadmissible”, confirme Marco Pasqualotto, directeur juridique et réglementaire de Hub One.
“Les avantages pour les consommateurs résideront dans une meilleure protection de leurs données personnelles, la portabilité des données et la systématisation du droit à l’oubli”
“L’objectif est que le citoyen soit au centre du contrôle de ses données, et d’expliquer aux organisations qu’il y a des limites et une déontologie à respecter. C’est dans l’esprit de la loi de 1978. Mais en 40 ans, le périmètre a changé avec la numérisation de la société, l’apparition des Gafa et du big data”, renchérit Loïc Guézo, spécialiste cybersécurité pour l’Europe du Sud chez Trend Micro. “Les avantages pour les consommateurs résideront dans une meilleure protection de leurs données personnelles, la portabilité des données et la systématisation du droit à l’oubli”, résume Jacques Sebag, directeur général de DenyAll.
Responsabilisation des entreprises
Une confiance qui impose une responsabilisation des entreprises. “L’entreprise citoyenne, comme ses sous-traitants, devra respecter le RGPD. Les entreprises vont devoir s’intéresser à la problématique de la sécurité informatique. Cela constitue un autre avantage majeur du RGPD” souligne Marco Pasqualotto, qui précise : “selon le principe de responsabilité conjointe entre les responsables du traitement et de responsabilité solidaire avec les sous-traitants, si les sous-traitants ne sont pas en conformité avec le RGPD, une entreprise ne ‘pourra’ pas travailler avec eux, car elle engagera alors sa propre responsabilité : cela va permettre la mise en place d’un cercle vertueux”.
“L’entreprise doit justifier que les données du consommateur ne sont pas stockées de manière injustifiée”
Une responsabilisation des entreprises qui passe par une meilleure gestion et valorisation des données collectées, et une meilleure gouvernance au plus haut niveau des entreprises. “Le RGPD oblige les entreprises à se mettre en conformité et engage la responsabilité des dirigeants. L’un de ses atouts est de favoriser le nettoyage des données à conserver, qui doivent être en corrélation avec le secteur de l’entreprise. Cette dernière doit justifier que les données du consommateur ne sont pas stockées de manière injustifiée”, explique Pascal Gadea, country manager France d’ACL, éditeur de logiciels spécialisés dans la gestion de mise en conformité et de risques opérationnels. “La mise en conformité au RGPD est une opportunité économique : il existe une convergence entre le règlement et les atouts marketing et commerciaux. Cette obligation de conformité au RGPD est vitale économiquement pour toutes les entreprises”, insiste Jean Lessi. Une occasion économique qui se double d’une opportunité financière. “Si une entreprise est cotée en bourse, une meilleure gouvernance des données de l’entreprise, et a fortiori des données personnelles, augmentera sa valorisation financière, dans le cadre d’un audit de sa gouvernance et de son respect des réglementations en vigueur”, fait remarquer Pascal Gadea.
Une meilleure gestion des risques
La mise en conformité nécessite pour certaines entreprises une remise à niveau informatique importante. “Certes, les nouveaux investissements IT représenteront des coûts considérables, mais dans le même temps s’avéreront très utiles pour les organisations. Il est important de lancer le processus et de bien comprendre ce qu’il faut entreprendre pour changer les process. Cela prendra du temps, car il faudra chiffrer les données personnelles et/ou les anonymiser”, juge Jacques Sebag.
Une remise à niveau technologique qui permettra une meilleure gestion des cyber-risques, de leur cartographie et, au final, une diminution des attaques informatiques. “Le règlement européen permet d’optimiser la cybersécurité et de générer la confiance avec des tiers. Si une organisation a une gestion saine des données et sait comment les protéger de manière efficace, alors le RGPD est d’une simplicité biblique”, indique Bernard Drui, directeur général de Protiviti France qui poursuit : “Ces dernières doivent comprendre quelles données stocker et conserver, mais aussi savoir quel dispositif ad hoc mettre en place pour protéger ces données”, estime Bernard Drui. “Le risque RGPD va progresser dans la hiérarchie des risques. On assistera à une montée en maturité des entreprises qui traiteront des données de citoyens européens, une meilleure protection de ceux-ci et donc une augmentation de l’importance du RGPD”, estime Loïc Guézo. “Le RGPD va permettre d’améliorer la culture de la gestion des risques. C’est un point positif”, souligne Nuvin Goonmeter, en charge du conseil en technologie, sécurité et confidentialité chez Proviti. “C’est surtout la clause pénale qui améliorera la culture de gestion des risques”, nuance Bernard Drui.
“Si une organisation a une gestion saine des données et sait comment les protéger de manière efficace, alors le RGPD est d’une simplicité biblique”
Quoi qu’il en soit, les experts sont d’accord pour souligner que le RGPD devrait à terme entraîner une diminution des fuites de données. “Toutefois, les cyberattaques seront toujours présentes et de plus en plus sophistiquées. Elles cibleront les sociétés les moins protégées”, reconnaît Jacques Sebag. “Les cyberattaques perdureront car aucun système d’information n’est fiable à 100 %”, confirme Marco Pasqualotto.
La Cnil et le 25 mai
Bénéficier des multiples occasions du RGPD implique d’être prêt. Ce qui n’est pas le cas de tous. “Lors de l’entrée en application d’une nouvelle réglementation, nous assistons à une phase d’appréhension plus ou moins importante de la part des entreprises selon leur taille et leurs connaissances en matière d’informatique, ce qui explique que toutes les entreprises ne seront pas conformes à la date prévue”, explique Marco Pasqualotto. “Les entreprises qui sont en retard sont celles qui n’étaient déjà pas conformes avec la loi de 1978, ce qui les oblige à un effet de rattrapage. La sécurité des données est déjà une obligation. La régulation de l’espace numérique reste cependant, dans le temps long, très récente”, souligne Jean Lessi. Pour les PME, qui ont des difficultés à se mettre en conformité, la Cnil a mis en place un large panel de services. “Le site de la Cnil va s’enrichir en mars pour les PME. Elles pourront y trouver des contenus ciblés qui seront distribués via des partenaires, notamment la Banque publique d’investissement (BPI), et les associations professionnelles”, déclare Jean Lessi, qui admet : “la Cnil n’attend pas une conformité à 100 % des PME”.
“Il y aura une période d’apprentissage, notamment pour les obligations nouvelles, telle que l’analyse d’impact. En revanche, les manquements manifestes et graves seront sanctionnés”
Car – la CNIL le clame désormais haut et fort – : le 25 mai 2018 ne sera pas une date couperet. “Il y aura une période d’apprentissage, notamment pour les obligations nouvelles, telle que l’analyse d’impact. En revanche, les manquements manifestes et graves seront sanctionnés”, fait valoir Jean Lessi. “Les PME et les entreprises en général doivent comprendre que le RGPD permettra de protéger la vie privée de leurs clients. Par conséquent, les entreprises qui y seront conformes bénéficieront d’une bonne image de marque, mais également de la confiance du consommateur, et éviteront une mauvaise réputation en cas de problème. Certes, la sanction de la Cnil est importante, mais la sanction commerciale l’est tout autant”, souligne Jean Lessi. Et de conclure : “c’est un nouveau réflexe à prendre pour les organisations : une fois pris, il ne se perdra plus”.
3,4 % en 2017 et 3,6 % de croissance annoncée en 2018. C’est ce qui ressort du bilan du syndicat des entreprises IT Syntec Numérique paru en décembre dernier. Une croissance que le syndicat explique par les projets de transformation numérique, notamment les SMACS (Social, Mobilité, Analytics, Cloud et Sécurité) qui progressent de + 16,2 % en 2017, mais aussi en raison des projets de mise en conformité réglementaire. En 2017, la mise en conformité au RGPD a représenté 670 millions d’euros de dépenses en logiciels et services, et devrait atteindre en 2018 près d’1 milliard. “Oui, l’entrée en application du RGPD booste le secteur IT, mais davantage le secteur du conseil et de la gouvernance que celui de la vente de solutions technologiques, car la protection des données est davantage une problématique de gouvernance d’entreprise que de firewalls à installer”, estime Loïc Guézo, stratégiste cybersécurité pour l’Europe du Sud chez Trend Micro. “Le RGPD booste le conseil mais aussi le IT qui se nourrit du conseil”, nuance Pascal Gadea, country manager France d’ACL. Selon Syntec Numérique, les éditeurs de logiciels devraient connaître la croissance la plus importante du marché IT en 2018.
La mise en conformité au RGPD est aussi à l’origine de tentatives de phishing de la part de petits malins qui tentent de piéger PME et TPE en mettant en avant l’importance des sanctions financières encourues, voire en se recommandant de la Cnil pour faire signer un engagement frauduleux. La Cnil a émis un message de vigilance sur son site à ce sujet. “En cas de doute de tentative de phishing, il convient d’essayer d’en savoir davantage et de ne pas hésiter à appeler la Cnil. Il faut être extrêmement prudent et demander des gages. Engager un expert pour la mise en conformité du RGPD est un travail sérieux et de longue haleine”, prévient Jean Lessi.
Est considérée comme une donnée personnelle, “toute information identifiant directement ou indirectement une personne physique (par exemple son nom, son numéro d’immatriculation, son numéro de téléphone, une photographie, sa date de naissance, sa commune de résidence, son empreinte digitale,…)”, selon la Cnil.
Dans la pratique, tel Monsieur Jourdain, nombre d’entreprises utilisent et traitent des données personnelles sans le savoir. Ce peut être un e-mail ou encore un bon de commande. Les données confirmées comme “anonymes” ne sont en revanche pas considérées comme des données à caractère personnel et n’entrent pas dans le cadre du RGPD. “Un élément important du RGPD est le principe de minimisation des données, indiquant que la donnée collectée doit être pertinente, proportionnelle et adéquate au regard de la finalité recherchée”, ajoute Marco Pasqualotto, directeur juridique et réglementaire de Hub One. Autrement dit, les données collectées doivent être en rapport avec le secteur dans lequel évolue l’entreprise.
“Les organisations doivent désormais se poser les bonnes questions : protège-t-on ce qu’il faut ? Ne collecte-t-on pas trop de données ? Cela demande un travail d’analyse et de communication. Les organisations doivent comprendre que dans le monde de plus en plus complexe dans lequel on vit, elles ont accès à de nouvelles opportunités, mais que simultanément, les données doivent être protégées”, indique Bernard Drui, directeur général de Protiviti France. “Normalement, les données personnelles doivent être détruites lorsque le contrat est terminé ou résilié, si l’on prend l’exemple d’un assureur. Mais, il arrive que ces dernières soient conservées à des fins de marketing ou de big data”, confie Nuvin Goonmeter, en charge du conseil en technologie, sécurité et confidentialité chez Proviti. “Le big data n’a pas pour but de procéder à du tracking individuel, mais de faire de la recherche pour faire ressortir des tendances”, rappelle-t-il.
Source : Rapport Gartner, décembre 2017
