L’Opinion –\u00a0Emmanuelle Ducros<\/b><\/a> <\/b>09 janvier 2018 \u00e0 06h00<\/p>\n Le d\u00e9lai accord\u00e9 aux entreprises pour recenser et prot\u00e9ger l\u2019ensemble de leurs donn\u00e9es personnelles (concernant leurs clients aussi bien que sur leurs salari\u00e9s) expire cette ann\u00e9e. Cette nouvelle r\u00e9glementation europ\u00e9enne, dite RGPD, vise au d\u00e9part essentiellement les Gafa, mais s\u2019applique \u00e0 toutes les entreprises. Pour celles qui n\u2019ont pas commenc\u00e9 \u00e0 y r\u00e9fl\u00e9chir, il est plus que temps ce s\u2019y mettre.<\/p>\n RGPD\u2009? Connais pas\u2009! Pourtant, toutes les administrations, toutes les associations ou toutes les entreprises, jusqu\u2019\u00e0 la plus minuscule TPE, doivent se conformer avant le 25 mai prochain au \u00ab\u00a0r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es personnelles\u00a0\u00bb (RGPD aussi baptis\u00e9 GDPR, en anglais), vot\u00e9 en avril 2016 par le Parlement europ\u00e9en. Il s\u2019agit d\u2019identifier toutes les bases de donn\u00e9es contenant des informations concernant clients ou salari\u00e9s, mais aussi tous les flux de donn\u00e9es. Les entreprises, notamment, doivent s\u2019assurer que les clients, lors du recueil de donn\u00e9es, sont explicitement volontaires, inform\u00e9s de l\u2019utilisation qui en sera faite et susceptibles de revenir sur leur consentement. Il faut aussi pr\u00e9voir des dispositifs d\u2019alerte des clients en cas de piratage et nommer un r\u00e9f\u00e9rent pour toutes ces questions. Un \u00e9norme travail qui justifiait bien le d\u00e9lai accord\u00e9 pour se conformer \u00e0 ce texte.<\/p>\n Pour Syntec num\u00e9rique, le RGPD constitue LE gros dossier de 2018. Sauf que… beaucoup de soci\u00e9t\u00e9s ne l\u2019ont pas encore ouvert\u2009! \u00ab \u00a0Selon nos chiffres, 42 % des entreprises prennent tout juste conscience des implications du RGPD. Pourtant, tout le monde est concern\u00e9, \u00e0 partir du moment o\u00f9 il d\u00e9tient un fichier client ou des donn\u00e9es d\u2019utilisateur. Pour nous, c\u2019est un \u00e9norme chantier, 3 milliards d\u2019euros sur trois ans\u00a0 \u00bb, explique Godefroy de Bentzmann, pr\u00e9sident de la f\u00e9d\u00e9ration professionnelle.<\/p>\n Les chiffres donn\u00e9s par BpiFrance et les professionnels de la s\u00e9curit\u00e9 informatique <\/a>vont dans le m\u00eame sens et donnent le vertige. \u00ab Les trois quarts des entreprises ne seront pas pr\u00eates le 25 mai \u00bb, estime Jo\u00ebl Mollo, directeur de Skyhigh Networks, entreprise sp\u00e9cialis\u00e9e dans la s\u00e9curit\u00e9 du cloud. Jean-Michel Livowski, expert en protection des donn\u00e9es et correspondant de la Cnil aupr\u00e8s des entreprises, d\u00e9taille\u2009: \u00ab Les entreprises du CAC 40, qui \u00e9taient en r\u00e8gle avec la loi Informatique et libert\u00e9, sont pr\u00eates. Dans les autres grandes entreprises, le travail est avanc\u00e9 dans la moiti\u00e9 des cas, mais aucune ne sera pr\u00eate en mai. Dans les ETI, 70 % n\u2019ont rien fait et dans les PME, c\u2019est pire\u2009: 80 % \u00e0 90 % n\u2019ont strictement rien entrepris.\u00a0 \u00bb<\/p>\n Punitions. <\/b>Une impr\u00e9paration alarmante car le non-respect de cette r\u00e9glementation informatique europ\u00e9enne contraignante peut co\u00fbter extr\u00eamement cher. \u00ab \u00a0Pour l\u2019Europe, il s\u2019agissait de renforcer les droits des citoyens sur leurs informations et de contrer l\u2019exploitation sauvage faite par les Google, Amazon, Facebook, Apple (Gafa) des monceaux de renseignements qu\u2019ils r\u00e9coltent \u00bb, explique Jean-Michel Livowski. A loi dirig\u00e9e contre les Gafa, amendes \u00e0 l\u2019\u00e9chelle\u2009: enfreindre le RGPD peut co\u00fbter jusqu\u2019\u00e0 20 millions d\u2019euros d\u2019amende pour toute entreprise \u00ab \u00a0classique\u00a0 \u00bb ou 4 % du chiffre d\u2019affaires mondial pour les multinationales. \u00c0 titre d\u2019exemple, Google, qui a r\u00e9alis\u00e9 en 2016 un chiffre d\u2019affaires de 90 milliards de dollars, pourrait potentiellement \u00eatre sanctionn\u00e9 jusqu\u2019\u00e0 3,6 milliards, soit un cinqui\u00e8me de son b\u00e9n\u00e9fice. \u00c7a fait mal.<\/p>\n \u00abTout ce que les employ\u00e9s imaginent \u00e9chappe aux directeurs informatiques. Cela va du partage des fichiers via un service comme We Transfer \u00e0 des stockages sur des clouds fantaisistes\u00bb<\/i><\/p>\n D\u2019autant que si les Gafa \u00e9taient vis\u00e9s, toutes les entreprises peuvent \u00eatre condamn\u00e9es. Car pour les sp\u00e9cialistes du secteur, les autorit\u00e9s ne se contenteront pas de faire des exemples.<\/p>\n En France, on est en train de transposer le texte dans la loi informatique et libert\u00e9 III<\/a> dont le texte sera d\u00e9voil\u00e9 dans quelques jours. La Commission informatique et libert\u00e9s (Cnil), qui sera charg\u00e9e de faire respecter le RGPD en traitant les plaintes des utilisateurs, n\u2019attendra plus de d\u00e9claration des entreprises mais enqu\u00eatera. Elle est d\u00e9j\u00e0 en train de diligenter des sondages dans des entreprises tir\u00e9es au sort, des inspections de sites Internet\u2026 \u00ab\u00a080% ou 90 % ne sont pas conformes\u00a0 \u00bb, commente, laconique, Jean-Marc Livowski. C\u2019est encore indolore mais cela ne durera pas\u2009: les \u00c9tats vont sortir le fouet.<\/p>\n Shadow IT. <\/b>\u00ab Nos analyses r\u00e9v\u00e8lent, dans les entreprises, des pratiques dont les services informatiques n\u2019avaient aucune id\u00e9e. Ils tombent de leur chaise,<\/a> d\u00e9taille Jo\u00ebl Mollo. Les directeurs des services informatiques ma\u00eetrisent bien la s\u00e9curit\u00e9 des infrastructures qu\u2019ils d\u00e9ploient, mais le shadow IT<\/i> leur \u00e9chappe\u2009: tout ce que les employ\u00e9s imaginent. Cela va du partage des fichiers via un service comme We Transfer \u00e0 des stockages sur des clouds<\/i> fantaisistes. \u00bb Un autre sp\u00e9cialiste\u2009: \u00ab \u00a0Dans 80 % des entreprises o\u00f9 nous intervenons, neuf employ\u00e9s sur dix qui ont acc\u00e8s aux donn\u00e9es bancaires des clients n\u2019en ont pas la n\u00e9cessit\u00e9 \u00bb, chiffre Christophe Badot, <\/b>directeur en France de Varonis, une soci\u00e9t\u00e9 am\u00e9ricaine sp\u00e9cialiste de la s\u00e9curit\u00e9. L\u2019utilisation des donn\u00e9es est une jungle. Le RGPD revient \u00e0 quadriller cette jungle pour en extraire les herbes folles et mettre sous cloche les orchid\u00e9es.<\/p>\n Probl\u00e8me, qui explique probablement l\u2019incroyable laisser-faire des entreprises fran\u00e7aises\u2009: le RGPD est un texte destin\u00e9 \u00e0 s\u2019adapter \u00e0 des pratiques en constante \u00e9volution. Il ne donne donc aucune consigne technique. Entreprises et organisations ont une obligation non de moyens mais de r\u00e9sultat ; \u00e0 elles d\u2019ajuster en permanence leur dispositif. \u00ab\u00a0 Cela suppose des comp\u00e9tences \u00e0 la fois juridiques et techniques, dont souvent elles ne disposent pas et qu\u2019elles doivent aller chercher \u00e0 l\u2019ext\u00e9rieur.<\/a> Or il y a p\u00e9nurie \u00bb, explique Jean-Michel Livowsky. Pire, 12 % de chefs d\u2019entreprise \u00ab \u00a0n\u2019ont aucun int\u00e9r\u00eat pour la chose informatique \u00bb, d\u00e9voilait, en octobre, une enqu\u00eate de BpiFrance Le Lab. Ils ont donc mis la poussi\u00e8re sous le tapis.<\/p>\n Failles profondes.<\/b> L\u2019inadaptation au RGPD non seulement fait courir \u00e0 l\u2019entreprise un risque juridique et financier mais, plus grave encore, r\u00e9v\u00e8le des failles profondes\u2009:\u00a0\u00ab\u00a0 Si les entreprises n\u2019ont pas cartographi\u00e9 les risques, c\u2019est qu\u2019elles ne sont pas prot\u00e9g\u00e9es contre les cyberattaques et qu\u2019elles sont l\u00e9g\u00e8res avec leur s\u00e9curit\u00e9\u00bb, note Jean-Michel Livowsky. \u00ab Finalement, pour une entreprise de taille importante, 20 millions d\u2019euros d\u2019amende ce n\u2019est pas dissuasif\u2026 mais ce n\u2019est rien au regard des pr\u00e9judices d\u2019image qu\u2019elles peuvent subir \u00bb, note Jo\u00ebl Mollo.<\/p>\nLes entreprises doivent \u00eatre en conformit\u00e9 avec la nouvelle r\u00e9glementation europ\u00e9enne avant le 25 mai. Malgr\u00e9 les sanctions, qui peuvent atteindre 20 millions d\u2019euros, beaucoup de PME font encore l\u2019autruche<\/h2>\n