La responsabilité des entreprises, tout autant que celle des éditeurs de logiciels, pourra être engagée à partir de mai 2018 en cas de manquement à la protection des données personnelles, conformément aux dispositions du règlement général adopté par l’Union européenne en mai dernier(*). Un sujet ardu lorsque l’on considère l’utilisation massive de services génériques tels que la messagerie, la gestion des ressources humaines ou le suivi de la relation client, pointent l’AFAI, le Cigref et Tech In France. Or, en cas d'infraction, les amendes pourront aller de 2 à 4% du chiffre d'affaires des entreprises, ou de 10 à 20 millions d'euros pour les autres organismes. Et selon une récente étude du cabinet Vanson Bourne, 68% des entreprises n'ont encore aucun plan complet de mise en conformité établi.
Pour tenter de clarifier le sujet et aider les DSI et fournisseurs de solutions à faire face à ces obligations, l’AFAI, le Cigref et Tech In France - représentant d’une part les entreprises et d’autre part les éditeurs de logiciels - ont décidé de créer un groupe de travail afin de réfléchir à de bonnes pratiques de mise en œuvre. Les partenaires prévoient de livrer les conclusions de leurs travaux d'ici un an, à l’automne 2017. Le premier groupe de travail se réunira très vite, dès ce mois de novembre. Il sera co-piloté par le DSI de Scor Régis Delayat, vice-président du Cigref et administrateur de l’AFAI et Stanislas de Rémur, PDG de Oodrive et vice-président de Tech In France.
(*) RGPD : Règlement général sur la protection des données (en anglais, GDPR, General Data Protection Regulation)
Commentaire