in

LE RGPD / GPRD ou le syndrome du passage à l’an 2000 en 2018 | Emmanuel Mayega pour DOCaufutur

Le marketing de la peur n’a jamais été aussi fort ! Même à quelques jours du passage au troisième millénaire an 2000 :o), la sérénité régnait à tous les étages de la direction informatique. Et pour cause, dossier purement technique, le passage à l’an 2000 était un risque à visage connu et facilement formalisable à l’œil nu : au lieu de coder les dates à deux digits, il fallait étendre le champ chronologique à quatre digits. Aucune menace de malveillance ne pesait alors sur le système d’information. 18 ans après, la donne a changé. Est arrivé entre temps la loi européenne sur la protection des données personnelles dite GPDR. A force de voir les sociétés abuser sur l’exploitation de cet or gris qu’est la donnée, l’Union Européenne a décidé de Réagir. Avec à la clé des sanctions pécuniaires très importantes : 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel (la valeur la plus élevée étant retenue). Le signal est clair. L’on ne plaisante plus avec la donnée personnelle dont l’importance capitale n’est plus à souligner à l’heure où, pour visiter un site marchand, il est nécessaire de montrer patte blanche donc de décliner son identité comme si pour entrer dans une galerie marchande dans un centre commercial il fallait s’identifier.

Désormais donc, c’est fini. En plus, il y aura un DPO (Data Privacy Officer ou Data Protection Officer) chargé de veiller en interne aux bonnes pratiques prévues par le GDPR, ce qui représente un coût colossal pour la plupart des organisations. Le GDPR confère à ce nouveau venu dans l’organigramme d’une entreprise en l’occurrence, le responsable de la protection des données, un rôle beaucoup plus important en raison de l’impact des amendes ou sanctions potentielles en cas d’infraction. En clair, il faut s’assurer en interne que le respect des règles est consommé. Pas évident dans un contexte où il faut que le DPO soit déjà respecté, ce qui n’est pas gagné.

En la matière, plusieurs solutions semblent se dessiner dont celle de CAPA Invest qui s’oriente vers la proposition d’une solution de DPO en mode délégué. Du fait de sa neutralité, le DPO sous-traité bénéficie d’une légitimité qui lui permet de s’imposer. Au-delà de cette réalité concrète, le plus important est surtout de faire le point sur la prise en compte de GDPR, loin du marketing de la peur. Pour cette réglementation qui entre en vigueur le 25 mai prochain, tout semble encore à faire. Et les études montrent que le retard est plutôt la règle, l’anticipation étant l’exception. En mai 2018, selon une 2ème édition du baromètre RGPD, 112 entreprises hexagonales, tant du secteur privé que public, ont répondu de façon anonyme au questionnaire élaboré par Global Security Mag, avec le concours de l’AFCDP, du CLUSIF et de l’ADPO et le support de QUALYS. Deux thèmes ont été abordés : le registre des activités de traitement (article 30) et la mise en place des solutions techniques pour assurer un niveau de sécurité adapté aux risques (article 32).

Si la maturité des entreprises par rapport au RGPD semble en hausse, la parfaite conformité au 25 mai 2018 reste pour la plupart d’entre elles un fantasme. Pire, l’indice de confiance inhérent à la possible conformité de leur entreprise avec le règlement au 25 mai 2018 est en chute libre en passant de 19 % au trimestre dernier à 11%. Dans le même temps, une conformité partielle serait envisagée pour 57 % des répondants contre 33% il y a 3 mois. Il semble donc qu’une prise de conscience vis-à-vis de l’effort à réaliser a eu lieu d’autant plus que les malveillants entendent utiliser la cybersécurité contre les entreprises pour gagner. Comme le note le dernier rapport de Trend-Micro qui met en garde les entreprises contre les tentatives d’extorsion en lien avec le RGPD. Dans son dernier rapport, l’éditeur japonais relève une multiplication des attaques ciblées et stratégiques, toujours plus lucratives.

Ce rapport dernier souligne une hausse du nombre de ransomware, d’une intensification du minage des crypto-monnaies et d’une augmentation des attaques BEC au cours des 12 derniers mois, dans un contexte où les cybercriminels peaufinent le ciblage de leurs opérations, à la recherche d’un meilleur rendement financier. Selon Trend-Micro, cette tendance devrait se confirmer en 2018, avec des tentatives d’extorsion ciblant les entreprises s’efforçant de se conformer au Règlement Général pour la Protection des Données (RGPD) prochainement en vigueur au sein de l’UE.

En clair, tout le monde se prépare, surtout les malveillants qui semblent prêts et dans une moindre mesure les entreprises pourtant les premiers concernés. La CNIL, qui sera ici l’autorité de contrôle est également prête et entend accompagner les sociétés dans cette plongée en apnée. Elle propose ainsi sur son site Web des outils de soutien dans ce sens. C’est le cas de PIA (priva impact assesment) ou analyse d’impact sur la protection des données. L’application PIA s’inscrit dans une démarche d’accompagnement des responsables de traitement dans la mise en œuvre des obligations du RGPD. Disponible en français et en anglais, elle facilite et accompagne la conduite d’une analyse d’impact relative à la protection des données, qui deviendra obligatoire pour certains traitements à partir de Mai 2018. Cet outil vise aussi à faciliter l’appropriation des guides PIA de la CNIL.

Quoi qu’il en soit, une interrogation s’impose : quelle sera l’attitude de la CNIL face au non-respect du RGPD à partir du 25 mai 2018 ?

Officiellement, les pouvoirs de contrôle de la CNIL restent inchangés. Elle continuera donc à procéder à des vérifications dans les locaux des organismes, en ligne, sur audition et sur pièces. Les modalités de déclenchement des contrôles restent également les mêmes : la décision de réaliser un contrôle s’effectuera sur la base du programme annuel des contrôles, des plaintes reçues par la CNIL, des informations figurant dans les médias, ou pour faire suite à un précédent contrôle. Mais la nouveauté fondamentale réside dans le fait que les contrôles effectués sur des acteurs internationaux s’appliqueront dans un contexte de coopération très poussée qui conduira à une décision harmonisée à portée européenne. Face à la multiplication des instances de régulation et des normes, l’on pourrait penser que la CNIL aura à cœur de se faire entendre et de faire respecter la norme. De ce point de vue, des sanctions exemplaires ne sont pas exclues, pour rappeler aux entreprises les pouvoirs de la nouvelle CNIL.

Pratiquement, elle distinguera deux types d’obligations s’imposant aux professionnels. Les principes fondamentaux de la protection des données restent pour l’essentiel inchangés (loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, etc.). Ils continueront donc à faire l’objet de vérifications rigoureuses par la CNIL. En revanche, pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact, etc.), les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes.

« En présence d’organismes de bonne foi, engagés dans une démarche de conformité et faisant preuve de coopération avec la CNIL, ces contrôles n’auront normalement pas vocation à déboucher, dans les premiers mois, sur des procédures de sanction sur ces points », peut-on lire sur le site de la CNIL.

Entre cette déclaration de bon sens et la réalité sur le terrain, les premiers pas de la CNIL en diront long sur quel pater il s’agit. Père fouettard ou alors le contraire ? A l’heure où les GAFA se contentent des amendes qui font sourire plus d’un observateur, les montants prévus par le GRDP devraient rétablir l’équilibre avec les acteurs européens. Encourageant pour les futures actions de la CNIL qui, dans ce cas, n’épargneront pas les acteurs locaux. Donc vigilance, même si on est loin du spectre de l’an 2000.

Emmanuel Mayega, journaliste indépendant pour DOCaufutur

 

à lire aussi

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.