Données personnelles: « La transition qui s’accompagne d’une lourde charge réglementaire »
L’entrée en application du règlement général de l’Union européenne relatif à la protection des données à caractère personnel des citoyens de l’union se fera dès le 25 mai 2018 dans la totalité des vingt-huit Etats de l’UE. Chacun sait pourtant que la plupart des organismes français n’y seront pas préparés.
Peu importe votre secteur d’activité, dès lors que vous détenez ou exploitez des données personnelles, votre société devra s’y soumettre de plein droit. Fait méconnu, les entreprises devront — déjà — être parfaitement conformes en mai. Elles encourent des sanctions administratives de la CNIL, mais aussi des poursuites civiles ou pénales.
La réglementation actuelle s’articule autour d’un processus déclaratif encadré par la loi Informatique et Liberté, maintes fois amendée depuis 1978, couplée à une directive européenne de 1995 devenue poussiéreuse et largement dépassée par les nouvelles technologies. Le montant maximum des amendes encourues plafonnant à 150 000 euros a laissé croire aux chefs d’entreprise que le risque présentait finalement un niveau acceptable, compte tenu des coûts, des réformes et de la lourdeur déclarative qu’ils auraient dû engager. En cas de pénalité, ils pensent qu’ils sauront assumer le problème financier, mettre en place quelques aménagements minimalistes de sécurité, bref, c’est un souci et ça se gère. Mais ça, c’était avant.
Sanctions
La nouvelle « Loi pour la République numérique » publiée fin 2016 a d’ailleurs augmenté sensiblement le plafond maximal des sanctions de la CNIL en le multipliant par vingt, soit 3 millions d’euros. Une très lourde charge financière couplée à une atteinte douloureuse à l’image de marque de la société, chacun conviendra qu’il s’agit là d’une situation commerciale préoccupante. Avec le règlement, la sanction pourra atteindre jusqu’à 20 millions d’euros d’amende, ou plus encore pour les multinationales du web.
Au-delà de ces sanctions pécuniaires désormais inassumables, des obligations comme celle de publier en première page de votre site vitrine une information du genre : « Cette société a été condamnée par la CNIL pour non-respect de la protection des données de ses clients et employés à une amende de… » Il y a là aussi de quoi y réfléchir à deux fois.
Enfin, la transition numérique a ouvert un espace croissant de failles de sécurité dans tous les domaines de la vie digitale, les hackers s’étant organisés pour viser les entreprises avec des systèmes mafieux, mais très professionnels de verrouillage des données avec demande de rançon. Les PME sont devenues des cibles fragiles, n’ayant pas les ressources pour disposer d’un expert interne en sécurité, comptant le plus souvent sur les prestataires de multiples sociétés de maintenance dont ils n’ont aucun moyen de vérifier le sérieux, la compétence et la probité.
Conformité technique.
Les entreprises vont devoir articuler une véritable politique de gouvernance interne de leurs données, reprenant face à chacun des droits des personnes, une démarche documentée de toutes les mesures qu’elles auront engagées pour se conformer à leurs nombreuses nouvelles contraintes.
Dans le même temps, elles devront assurer une véritable conformité technique et sécuritaire de leurs installations, serveurs, réseaux, sauvegardes, bases de données, postes individuels, messageries, agendas, site web, bref partout où se trouvent des informations relatives aux personnes.
Désigner dès maintenant à la CNIL un DPO (délégué à la protection des données) salarié de l’entreprise ou professionnel externe et dont la fonction est encadrée par le règlement européen, sera probablement votre meilleur atout pour vous mettre rapidement en règle et surtout… en sécurité, dans toutes les acceptions de ce terme.
Bien au-delà de la conformité légale que nous avons évoquée, cette désignation vous évitera de prendre le risque de perdre la totalité de votre patrimoine informationnel et numérique, tout en mettant en place un certain nombre de boucliers juridiques et techniques pérennes, protégeant l’ensemble de votre système d’information tout comme ses précieuses données.
Faites de ce qui vous apparaît comme une contrainte de plus un argument commercial vertueux, communiquez autour de votre démarche en indiquant à vos clients, salariés et partenaires que vous vous souciez du respect des droits des personnes, en engageant au sein de votre entreprise avec vos salariés une politique utile, intelligente, riche et surtout vitale à votre transition.
Jean-Michel Livowsky est correspondant de la CNIL, cabinet d’avocats Dézavelle-Livowsky et Associés, www.dpo-avocats.com
Paru le 27 juin 2017 dans les cahiers de la Transformation Numérique – L’Opinion