Le nouveau règlement européen sur la protection des données personnelles (RGPD) est entré en application le vendredi 25 mai. A cette date, les entreprises de plus de 250 salariés doivent être en conformité, mais également leurs sous-traitants. Michel Rousseau, dirigeant de l’Agence RGPD à Poitiers accompagne les entreprises dans cette démarche.
Info-éco / Que se cache-t-il derrière les quatre lettres RGPD ?
Michel Rousseau / Le nouveau règlement européen sur la protection des données personnelles (RGPD) est entré en application le vendredi 25 mai. A cette date, les entreprises de plus de 250 salariés doivent être en conformité, mais également leurs sous-traitants. Je dirais que 30 % des professionnels ont pris conscience de ce qu’il fallait faire et que 70 % ont déjà entendu le mot RGPD, mais n’ont encore rien réalisé. La date du 25 mai est là pour créer un effet boosteur, pour que chaque dirigeant enclenche une démarche dans ce sens. Nous avons une expertise sur le sujet de par notre premier métier (SOS Data est spécialisée dans l’hébergement et la protection des données) et cela fait déjà deux ans que nous approfondissons les questions, tout d’abord en tant qu’hébergeur, puis pour apporter cette expertise à nos clients et à d’autres entreprises. Nous avons notamment deux délégués à la protection des données certifiés au niveau européen. Ils connaissent la loi sur le bout des doigts. L’application de cette réglementation européenne est contrôlée par la CNIL (commission nationale de l’informatique et des libertés) en France.
Info-éco / En quoi cela impacte les entreprises ?
M. R. / Tout à chacun laisse des informations à des opérateurs, des sites internet, des plates-formes web … Aujourd’hui, ces flux d’informations créent des réseaux d’influence purement commerciale ou plus personnelle. Le règlement donne la capacité à tout individu de savoir où sont ces informations et ce qui en est fait. La réforme renforce les droits des personnes à disposer de leurs données (qui à quoi sur moi), mais aussi le droit à l’effacement. Demain, toute société devra fournir dans les trois mois les données sur la personne qui pourra les garder ou les effacer partiellement ou totalement. A l’autre bout, les entreprises doivent savoir comment elles collectent les données, comment elles les traitent et les conservent. Il faut par exemple déclarer une durée de limite de conservation.
Info-éco / Quelle est la démarche à suivre ?
M. R. / L’une des premières choses à faire est de désigner un responsable des données en interne ou externe pour l’entreprise. Il s’agit avant tout de faire une cartographie des données. Elles sont classées suivant leur sensibilité (fiche de paie, carte de fidélité, newsletter, historique de commandes …). La question est ensuite de savoir si oui ou non, elles respectent le droit des personnes et comment elles sont sécurisées. S’en suit l’élaboration d’un plan d’amélioration. L’ensemble de ces démarches est retranscrit dans un rapport annuel déclaratif à remettre à la CNIL. Il détaille ainsi le plan et les actions mises en place au sein de l’entreprise. Le rapport repose sur la déclaration et non sur l’intrusion. L’entreprise détaille ce qu’elle fait et comment.
Info-éco / Y aura-t-il des sanctions ?
M. R. / A l’instar de la déclaration d’impôts, s’il y a un doute, il y aura un contrôle, mais la CNIL va laisser le temps aux entreprises de se mettre en conformité sur 2018. La sanction prévue est une retenue de 2 à 4 % sur le chiffre d’affaires de l’entreprise. Cela se fera au cas par cas. Pour l’instant, il s’agit plus de faire de la pédagogie, de pointer les problèmes s’il y en a et de les corriger. Cette mise en conformité va se faire avec le temps. Il s’agit avant tout de lancer la démarche et de pointer les failles qui existeraient (une conservation trop longue, l’absence de serveur dédié, la collecte d’informations non pertinentes …). Il faut avant tout faire preuve de bonne foi et de bon usage.
Info-éco / Quels sont les impacts pour l’entreprise ?
M. R. / Demain, entre deux entreprises pour un appel d’offres, le donneur d’ordre prendra une entreprise en conformité. Demain, afficher cette démarche de conformité sera un gage de qualité. Des règles nouvelles ont également été mises en place en cas de vol ou piratage des données. L’entreprise doit prévenir la CNIL et tous les acteurs et clients concernés. Une procédure très précise est mise en place. Et chaque déclaration aura un impact financier pour l’entreprise.
Info-éco / Comment les entreprises doivent-elles aborder cette obligation ?
M. R. / La mise en conformité n’est pas une mise en danger de l’entreprise, mais plutôt l’occasion d’une réflexion globale sur sa transformation digitale. Ce processus est à portée de toutes les entreprises, mais il faut s’intéresser au sujet, le comprendre, le décortiquer. C’est une protection pour tous et l’entreprise protège ainsi les individus de demain et leurs comportements futurs. Il n’y a pas à tout changer, les logiciels sont conformes, le matériel n’est pas en cause … La réglementation est complexe, mais en réalité beaucoup d’entreprises sont en conformité, il faut simplement s’y attaquer calmement. Le tout est de lancer la démarche cette année.
Propos recueillis par Mathilde Wojylac