RGPD : Petites ou grandes, les entreprises doivent encore s’améliorer

Les grands comptes et les entreprises présentent dans des secteurs d’activité très réglementés ont été les premiers à prendre les devants en adoptant des bonnes pratiques et procédures. Mais, c’est loin d’être le cas pour de nombreuses PME/PMI.

Plus d’1 an après son entrée en application (25 mai 2018), le RGPD reste encore flou pour beaucoup de professionnels. Ses enjeux et ses obligations ne sont pas encore totalement compris et intégrés. Dès lors, 3 erreurs sont communément commises.

Une augmentation des plaintes

La première erreur des entreprises est sans doute la plus répandue : en se focalisant principalement sur les sanctions et sur une lecture «?juridique?» du texte, certaines estimaient ne rien risquer. La CNIL (Commission nationale de l'informatique et des libertés) allait se concentrer sur les grands groupes et les Gafam (Google, Amazon, Facebook, Apple et Microsoft) pour montrer l’exemple. 

Et ce fut le cas au début de l’année. Elle a prononcé une sanction de 50 millions d’euros à l’encontre de Google. Mais cette attitude est risquée.

En effet, les plaintes auprès de la CNIL ont augmenté de 30 %, avec 11 900 dépôts entre mai 2018 et mai 2019. Sur cette même période, 144 376 plaintes ont été enregistrées dans l’Union européenne?!

Par ailleurs, la CNIL a décidé d’être plus sévère. Dans un entretien accordé à La Tribune, la nouvelle présidente de la CNIL, Marie-Laure Denis, a déclaré qu’il faut «?désormais, faire preuve de davantage de fermeté?».

Quelles sanctions pour le non-respect du RGPD ?

Toutes les entreprises peuvent être sanctionnées. Peu importe leur taille. 
Fin mai 2019, la CNIL a prononcé une sanction de 400 000 euros à l’encontre d’une société de promotion et de gestion immobilière pour avoir collecté abusivement des informations sensibles auprès des candidats locataires, telles que des pièces d’identité, des relevés de compte, etc. La société est également accusée d’avoir stocké ces informations sans la moindre mesure de sécurité pour les protéger d’un vol potentiel. 

Cette amende confirme que la sécurité des données est un point essentiel du RGPD. Premièrement, il est indispensable de mettre en place une politique de collecte et d’accès aux données personnelles (mais cela vaut aussi pour les informations confidentielles) : seuls les collaborateurs autorisés à «?gérer?» ces fichiers peuvent y accéder et seules les données nécessaires seront demandées. Deuxièmement, les entreprises doivent imposer l’accès à ces données avec des mots de passe «?forts?» (c’est-à-dire difficiles à deviner) et uniques (un pour chaque compte et utilisateur !).

L’entrée en vigueur du RGPD implique de prendre des «?mesures techniques appropriées » mais également «?organisationnelles ». Dans ce cadre, la CNIL encourage les entreprises à apprécier les risques liés à leur fonctionnement, et ce de manière globale. Car la deuxième erreur des entreprises est bien de penser que le RGPD est seulement l’affaire du service informatique ou juridique, voire les deux. Bien au contraire, elle concerne tous les métiers de l’entreprise (du marketing ou RH en passant par le commercial).

• Des accès illégitimes aux données existent-ils ?
• Des données sont-elles susceptibles de disparaître ou d’être accidentellement modifiées ?

Identifier les risques et les menaces probables au sein de l’entreprise et ce dans sa globalité, permet d’une part de renforcer structurellement le circuit des données et leurs points d’accès, et d’autre part de traiter une dimension plus sensible encore : les enjeux humains. Car tout collaborateur, et en particulier celui qui traite des données de près ou de loin, doit être sensibilisé aux bonnes pratiques. Cela passe par des formations : nombreux sont les experts proposant leurs services en e-learning, en présentiel, ou en blended learning (mélange des deux), adaptés aux contraintes des salariés.

Vos prestataires : eux aussi parties prenantes !

La troisième erreur concerne les sous-traitants. Le règlement européen consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles. Cela concerne notamment les prestataires informatiques qui hébergent vos données, assurent la maintenance de vos matériels bureautiques (dont les imprimantes/photocopieuses qui ont un disque dur sur lequel sont enregistrés des CV, des bulletins de salaire...) et les éditeurs de logiciels (RH, facturation, CRM…). Un point important à ne pas négliger pour les entreprises. L’Article 28-1 du RGPD insiste sur le fait qu’elles ne doivent faire appel qu’à des sous-traitants présentant toutes les garanties de sécurité nécessaire afin d’assurer la confidentialité des données personnelles. Ces tiers doivent respecter les instructions (détaillées dans le contrat avec des avenants propres au RGPD) liées à la sécurité des données que leur confient leurs clients.

Il n’est pas trop tard pour entamer sa mise en conformité. Cela implique notamment : 

• d’établir une documentation claire et une cartographie précise de tous les traitements de données personnelles (en interne et en externe)?;
• de rédiger des mentions d’information pour les personnes concernées (dont les salariés)?;
• d’instaurer une politique de gestion des accès aux données personnelles?;
• d’instaurer des process internes en cas de violation de données?;
• de former et d’informer les collaborateurs afin qu’ils soient associés à ce projet et qu’ils deviennent plus vigilants en matière de menaces numériques.

C’est donc un travail sur le long terme. Il n’est jamais trop tard pour débuter de tels chantiers et il est toujours possible d’améliorer ceux déjà engagés, quelque soit le type, la taille et le secteur d’une entreprise, du moment qu’elle tire partie d’une organisation adaptée. À la clé, outre le respect essentiel des impératifs réglementaires, il est possible d’en tirer de nombreux bénéfices.

¹ cnil.fr