Le délai touche pratiquement à sa fin. Il ne reste plus que quelques semaines aux entreprises pour se préparer à l’entrée en vigueur du Règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation en anglais), le 25 mai prochain. Face aux changements juridiques, techniques et organisationnels engendrés par cette nouvelle réglementation, la mise en conformité est parfois difficile à mettre en place pour certaines entreprises. Le RGPD ou GDPR en cinq questions.
Qu’est-ce que le RGPD ou GDPR ?
Le Règlement général sur la protection des données est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel. À l’heure de l’explosion des usages numériques et de l’augmentation des piratages, il a pour objectif de garantir la protection des données des citoyens européens comme le nom, la photographie, l’adresse IP, le numéro de téléphone, l’identifiant de connexion informatique, l’adresse postale, l’enregistrement vocal… Comme le souligne sur son site la commission nationale de l’informatique et des libertés (CNIL) en charge de contrôler le respect du règlement en France, le système de contrôle ne se fait plus à priori – avec des déclarations et des autorisations préalables – mais a posteriori. Une manière de renforcer la responsabilité des organismes. « Ils devront assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité », insiste cette autorité administrative indépendante.
Qui sont les entreprises concernées par le RGPD ou GDPR ?
Grandes entreprises, PME, associations, collectivités, toute entité, privée ou publique, quelle que soit sa taille, qui offre des produits ou services et donc traite les données personnelles est ciblée par cette nouvelle réglementation. Et les géants américains ne font pas exception. Google, Facebook, Amazon ou encore Uber doivent se mettre, eux aussi, en conformité s’ils souhaitent continuer sans risque à fournir des biens et des services à leurs clients européens. Après le 25 mai, toute infraction au RGPD ou GDPR pourra donner lieu à des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires.
Comment se préparer au RGPD ou GDPR ?
Pour aider les entreprises à se conformer à cette nouvelle réglementation, la CNIL a publié une feuille de route à suivre comprenant six étapes clés :
- Première étape : Désigner un délégué à la protection des données (DPO) qui exerce une mission d’information, de conseil et de contrôle en interne du respect du règlement et du droit national en matière de données.
- Deuxième étape : Cartographier vos traitements de données personnelles, à savoir recenser les données et la manière dont elles sont utilisées.
- Troisième étape : Sur la base du registre, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir puis les prioriser au regard des risques.
- Quatrième étape : Mener une analyse d’impact sur la protection des données (PIA) pour s’assurer de créer un traitement conforme au RGPD ou GDPR et respectueux de la vie privée.
- Cinquième étape : Mettre en place des procédures internes qui garantissent la protection des données à tout moment (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).
- Sixième étape : Constituer un dossier avec les éléments suivants, à savoir la documentation sur vos traitements de données personnelles, l’information des personnes ainsi que les contrats qui définissent les rôles et les responsabilités des acteurs.
Est-ce que je peux faire appel à un tiers pour la mise en conformité au RGPD ou GDPR ?
Dans moins de cent jours, le RGPD ou GDPR sera appliqué. Problème, beaucoup d’entreprises, collectivités ne sont pas encore prêtes. Selon une étude du cabinet Forrester citée par Les Echos, seulement 24 % des entreprises seraient conformes à cette nouvelle réglementation. Consciente de la difficulté de la tâche, la CNIL a annoncé qu’elle ne sanctionnerait pas les entreprises dans un premier temps et leur laisserait une période de transition pour les accompagner. Et pour ceux qui souhaiteraient se libérer des contraintes du RGPD ou GDPR et faire effectuer ce travail par un tiers, il existe des start-up qui proposent des accompagnements dans cette mise en conformité. Smart GDPR est l’une d’entre elles. Créée en 2017 par Benoit Guignard et Olivier Guillo en février 2017, elle se veut « la première plateforme mondiale de mise en conformité avec le RGPD ou GDPR et d’externalisation du rôle de Data Protection Officer (DPO) ». « La société propose une solution clé en main : un audit gratuit en 2-3h pour constater de la situation de l’entreprise par rapport à la protection des données, la mise à disposition d’un Data Protection Officer (DPO) externalisé par abonnement, et le suivi du processus », explique Olivier Guillo. La start-up accompagne également les entreprises dans la constitution du registre de traitement des données, mais aussi couvre le risque juridique et financier avec l’assurance DPO externe – les avocats de Smart GDPR sont assurés à hauteur de 3 millions d’euros. Si certaines agences sont honnêtes, la CNIL alerte sur les risques d’arnaques autour du RGPD. Numéro de téléphone surtaxé, expertises frauduleuses, collecte d’informations pour préparer une escroquerie ou une attaque informatique, les artisans, les commerçants et les PME sont particulièrement sollicités par ces faux experts. En cas de doute, l’autorité recommande de contacter le 01 53 73 22 22.
Combien coûte cette mise en conformité au RGPD ou GDPR?
D’après une étude menée par le cabinet Sia Partners, le coût des programmes de mise en conformité au RGPD ou GDPR se situe autour de 30 millions d’euros pour une entreprise du CAC 40. En revanche, pour les PME, la facture est moins salée et s’élève à quelques milliers d’euros.
Libérer les entreprises de ces contraintes et leur permettre de gagner du temps
Donald Faudot, directeur commercial de REALEASE Capital, société de location évolutive
Avec la nouvelle réglementation, les entreprises sont obligées de garantir la protection des données des consommateurs, collaborateurs, clients et prospects. Par conséquent, pour tout équipement en fin de vie, elles vont devoir prouver que toutes les données du poste ont bien été effacées. Les collaborateurs ou le service informatique vont alors devoir manipuler le produit et se doter d’un logiciel certifié pour effacer les données et fournir le cas échéant un certificat d’effacement en cas de contrôles. Le temps consacré à cette opération ainsi que l’acquisition du logiciel représentent une nouvelle dépense pour l’entreprise. REALEASE Capital propose de libérer ses clients de ces contraintes pour leur faire gagner du temps et leur permettre de se concentrer sur leur activité. REALEASE Capital gère déjà la fin de vie des équipements sous contrat de location. Nous les récupérons, les testons afin de faciliter leur recommercialisation ou leur recyclage. Durant cette phase de remise en état, nous pouvons facilement effacer les données et produire, grâce à un logiciel spécialisé, un certificat reconnu par le RGPD ou GDPR qui garantit au client que les données sont bien effacées. Un plus pour les entreprises que nous accompagnerons dans cette démarche.
En savoir plus :
Règlement européen sur la protection des données : ce qui change pour les professionnels
Pour aller plus loin :
Facebook interdit l’utilisation de nos données à des fins de surveillance