Protection des données: le big bang de 2018
L’Opinion – Emmanuelle Ducros 09 janvier 2018 à 06h00
Les entreprises doivent être en conformité avec la nouvelle réglementation européenne avant le 25 mai. Malgré les sanctions, qui peuvent atteindre 20 millions d’euros, beaucoup de PME font encore l’autruche
Le délai accordé aux entreprises pour recenser et protéger l’ensemble de leurs données personnelles (concernant leurs clients aussi bien que sur leurs salariés) expire cette année. Cette nouvelle réglementation européenne, dite RGPD, vise au départ essentiellement les Gafa, mais s’applique à toutes les entreprises. Pour celles qui n’ont pas commencé à y réfléchir, il est plus que temps ce s’y mettre.
RGPD ? Connais pas ! Pourtant, toutes les administrations, toutes les associations ou toutes les entreprises, jusqu’à la plus minuscule TPE, doivent se conformer avant le 25 mai prochain au « règlement général sur la protection des données personnelles » (RGPD aussi baptisé GDPR, en anglais), voté en avril 2016 par le Parlement européen. Il s’agit d’identifier toutes les bases de données contenant des informations concernant clients ou salariés, mais aussi tous les flux de données. Les entreprises, notamment, doivent s’assurer que les clients, lors du recueil de données, sont explicitement volontaires, informés de l’utilisation qui en sera faite et susceptibles de revenir sur leur consentement. Il faut aussi prévoir des dispositifs d’alerte des clients en cas de piratage et nommer un référent pour toutes ces questions. Un énorme travail qui justifiait bien le délai accordé pour se conformer à ce texte.
Pour Syntec numérique, le RGPD constitue LE gros dossier de 2018. Sauf que… beaucoup de sociétés ne l’ont pas encore ouvert ! « Selon nos chiffres, 42 % des entreprises prennent tout juste conscience des implications du RGPD. Pourtant, tout le monde est concerné, à partir du moment où il détient un fichier client ou des données d’utilisateur. Pour nous, c’est un énorme chantier, 3 milliards d’euros sur trois ans », explique Godefroy de Bentzmann, président de la fédération professionnelle.
Les chiffres donnés par BpiFrance et les professionnels de la sécurité informatique vont dans le même sens et donnent le vertige. « Les trois quarts des entreprises ne seront pas prêtes le 25 mai », estime Joël Mollo, directeur de Skyhigh Networks, entreprise spécialisée dans la sécurité du cloud. Jean-Michel Livowski, expert en protection des données et correspondant de la Cnil auprès des entreprises, détaille : « Les entreprises du CAC 40, qui étaient en règle avec la loi Informatique et liberté, sont prêtes. Dans les autres grandes entreprises, le travail est avancé dans la moitié des cas, mais aucune ne sera prête en mai. Dans les ETI, 70 % n’ont rien fait et dans les PME, c’est pire : 80 % à 90 % n’ont strictement rien entrepris. »
Punitions. Une impréparation alarmante car le non-respect de cette réglementation informatique européenne contraignante peut coûter extrêmement cher. « Pour l’Europe, il s’agissait de renforcer les droits des citoyens sur leurs informations et de contrer l’exploitation sauvage faite par les Google, Amazon, Facebook, Apple (Gafa) des monceaux de renseignements qu’ils récoltent », explique Jean-Michel Livowski. A loi dirigée contre les Gafa, amendes à l’échelle : enfreindre le RGPD peut coûter jusqu’à 20 millions d’euros d’amende pour toute entreprise « classique » ou 4 % du chiffre d’affaires mondial pour les multinationales. À titre d’exemple, Google, qui a réalisé en 2016 un chiffre d’affaires de 90 milliards de dollars, pourrait potentiellement être sanctionné jusqu’à 3,6 milliards, soit un cinquième de son bénéfice. Ça fait mal.
«Tout ce que les employés imaginent échappe aux directeurs informatiques. Cela va du partage des fichiers via un service comme We Transfer à des stockages sur des clouds fantaisistes»
D’autant que si les Gafa étaient visés, toutes les entreprises peuvent être condamnées. Car pour les spécialistes du secteur, les autorités ne se contenteront pas de faire des exemples.
En France, on est en train de transposer le texte dans la loi informatique et liberté III dont le texte sera dévoilé dans quelques jours. La Commission informatique et libertés (Cnil), qui sera chargée de faire respecter le RGPD en traitant les plaintes des utilisateurs, n’attendra plus de déclaration des entreprises mais enquêtera. Elle est déjà en train de diligenter des sondages dans des entreprises tirées au sort, des inspections de sites Internet… « 80% ou 90 % ne sont pas conformes », commente, laconique, Jean-Marc Livowski. C’est encore indolore mais cela ne durera pas : les États vont sortir le fouet.
Shadow IT. « Nos analyses révèlent, dans les entreprises, des pratiques dont les services informatiques n’avaient aucune idée. Ils tombent de leur chaise, détaille Joël Mollo. Les directeurs des services informatiques maîtrisent bien la sécurité des infrastructures qu’ils déploient, mais le shadow IT leur échappe : tout ce que les employés imaginent. Cela va du partage des fichiers via un service comme We Transfer à des stockages sur des clouds fantaisistes. » Un autre spécialiste : « Dans 80 % des entreprises où nous intervenons, neuf employés sur dix qui ont accès aux données bancaires des clients n’en ont pas la nécessité », chiffre Christophe Badot, directeur en France de Varonis, une société américaine spécialiste de la sécurité. L’utilisation des données est une jungle. Le RGPD revient à quadriller cette jungle pour en extraire les herbes folles et mettre sous cloche les orchidées.
Problème, qui explique probablement l’incroyable laisser-faire des entreprises françaises : le RGPD est un texte destiné à s’adapter à des pratiques en constante évolution. Il ne donne donc aucune consigne technique. Entreprises et organisations ont une obligation non de moyens mais de résultat ; à elles d’ajuster en permanence leur dispositif. « Cela suppose des compétences à la fois juridiques et techniques, dont souvent elles ne disposent pas et qu’elles doivent aller chercher à l’extérieur. Or il y a pénurie », explique Jean-Michel Livowsky. Pire, 12 % de chefs d’entreprise « n’ont aucun intérêt pour la chose informatique », dévoilait, en octobre, une enquête de BpiFrance Le Lab. Ils ont donc mis la poussière sous le tapis.
Failles profondes. L’inadaptation au RGPD non seulement fait courir à l’entreprise un risque juridique et financier mais, plus grave encore, révèle des failles profondes : « Si les entreprises n’ont pas cartographié les risques, c’est qu’elles ne sont pas protégées contre les cyberattaques et qu’elles sont légères avec leur sécurité», note Jean-Michel Livowsky. « Finalement, pour une entreprise de taille importante, 20 millions d’euros d’amende ce n’est pas dissuasif… mais ce n’est rien au regard des préjudices d’image qu’elles peuvent subir », note Joël Mollo.
Et, pire, on ne compte plus les PME qui doivent mettre la clé sous la porte après un pillage en règle de leurs ressources informatiques. Il est plus que temps de sonner l’alarme !
Pour retrouver l’article de Emmanuelle Ducros sur le site de L’Opinion : https://www.lopinion.fr/edition/economie/protection-donnees-big-bang-2018-141015