Difficile aujourd'hui pour les entreprises françaises traitant des données personnelles à ne pas être au courant de l'échéance du 25 mai 2018, date de la mise en application de GDPR ou RGPD (règlement général sur la protection des données personnelles). Alors que le chemin de la mise en conformité a commencé pour certaines d'entre elles depuis deux ans au moins, en particulier chez des grands groupes (Geodis, Casino...), nombreuses sont les PME et PMI à s'être lancées en retard. Selon une récente étude menée par le cabinet Vanson Bourne pour le compte de l'éditeur de sécurité Varonis, 42% des entreprises françaises indiquent qu'elles seront à l'heure, contre 36% au Royaume-Uni et 35% en Allemagne. Davantage considéré par les entreprises comme un chemin de croix qu'une ballade de santé, l'aventure vers la conformité GDPR pourrait toutefois vite tourner au cauchemar, avec à la clé rappelons-le, un risque financier particulièrement lourd pouvant aller jusqu'à 4% du chiffre d'affaires réalisé dans le monde.
Les entreprises qui ne se préoccupent que maintenant de la mise en conformité GDPR ont-elles perdu la bataille réglementaire ? Loin de là. Même si tout dépend bien entendu de leur contexte/environnement, volume de données personnelles traitées, dispersion d'informations à caractère privée dans le système d'information...), il est encore possible de renverser la tendance. Certaines astuces peuvent s'avérer judicieuses à appliquer, et des erreurs évitées. Passage en revue des conseils à suivre pour survivre après l'échéance fatale du 25 mai 2018.
1/ Identifier les traitements à risque
A une centaine de jours de la mise en application de GDPR, le temps presse pour passer au peigne fin la totalité de son système d'information (serveurs, postes de travail...). Aussi, mieux vaut-il se concentrer sur l'essentiel, à savoir les traitements présentant le plus de risque juridique pour l'entreprise. « Il faut vérifier avant tout les fichiers Excel, les emails et les espaces de travail partagés comme Sharepoint en s'assurant de leur conformité, par exemple en effaçant des mentions discriminantes au regard de la vie privée », fait savoir Gérôme Billois, responsable de l'activité cybersécurité et digital trust au sein du cabinet Wavestone. En ligne de mire : les annotations dénigrantes, sexistes voire racistes qui ne passeraient assurément pas en cas de contrôle. « Il peut être utile de prendre des mesures de limitation des droits d'accès et aller jusqu'à du chiffrement », recommande par ailleurs Gérôme Billois.
2/ Ne pas succomber à l'achat d'outils en urgence
Depuis plusieurs mois, pas un jour ne passe sans qu'un fournisseur ou société de service propose ses outils pour être « GDPR compliant ». Du contrôle des communications cloud aux obligations documentaires en passant par la localisation ou la portabilité des données à caractère personnel, les solutions se bousculent à la porte des entreprises. Inutile de se précipiter, le temps de mise en oeuvre s'avére souvent bien trop important pour être au rendez-vous d'une mise en conformité au 25 mai pour qui le souhaite à tout prix. « Cela ne sert à rien d'acheter des outils. L'entreprise va perdre 2 mois à les implémenter, or les outils n'ont précisément de valeur qu'en fonction des données qu'ils ont dedans », alerte Gérôme Billois.
3/ Eviter le piège des escroqueries GDPR
Sentant le filon, les escrocs du web ont bien compris qu'ils avaient une carte à jouer pour extorquer quelques centaines, milliers voire dizaines de milliers d'euros à des entreprises paniquées à l'idée de ne pas être en conformité GDPR. « Vous avez reçu un appel venu d’une personne vous disant être mandaté par la CNIL pour vous alerter sur l’échéance du RGPD et sur les amendes que vous risquez si vous n’êtes pas en règle ? Attention, vous avez peut-être été victimes d’une arnaque », alertait ainsi récemment la Cnil. S'il faut se montrer très vigilant face à ce type de démarches, d'autres sont également initiées non pas sous la forme d'une escroquerie en tant que tel, mais abusent de la situation pour faire grimper l'addition. « J'ai eu vent d'une petite mairie qui a considéré une proposition de 50 000 euros pour une mise en conformité GDPR et perçue comme une tentative d'escroquerie. Les consultants dégainent les devis et tout le monde fait monter le stress », explique Bruno Rasle, délégué général de l'AFCDP. « Ce n'est pas forcément de l'escroquerie mais de l'opportunisme », complète de son côté Thierry Autret, délégué général du Cesin. « Peut être que face à leurs responsabilités, certaines entreprises n'ont pas le choix et sont prêtes à payer pour cette mise en conformité. Mais pour les autres, il ne faut pas s'alarmer, le couperet ne va pas pas tomber le 26 mai ».
4/ Baliser le recours à un DPO interne ou externe
Dans le cadre d'une démarche de mise en conformité GDPR en urgence, une bonne pratique à suivre est d'armer l'entreprise d'un responsable à la protection des données personnelles ou DPO. « Si l'entreprise n'a pas encore de DPO, elle peut en nommer un faisant office de pour avoir une tête de pont sur l'aspect legal », indique Gérôme Billois. Si le choix est fait de se tourner vers une prestation de DPO externalisé, mieux vaut dès lors bien borner la relation afin de cadrer ses missions et prérogatives au plus juste par rapport aux enjeux du moment de façon contractuel. Mais une démarche complémentaire peut également être menée en parallèle comme le suggère le délégué général de l'AFCDP : « Nous avons mis à disposition une charte de déontologie que l'on recommande de suivre dans le cas d'un recours à un DPO externe qui pourrait être intéressant à la fois pour le client que le DPO pour éviter les dérobades », explique Bruno Rasle.
5/ Se rapprocher de ses pairs
Dans la vie privée, il est possible de demander l'avis de ses amis, pourquoi n'en serait-il pas de même dans la vie professionnelle ? « On peut faire appel à n'importe qui pour être accompagné en urgence pour une mise en conformité GDPR comme le ferait quelqu'un de bloqué à sa porte qui appellerait le premier serrurier du coin, mais le mieux c'est de faire appel à ses pairs », conseille Thierry Autret. Plus que de répondre à n'importe quel email pour obtenir de l'aide, il peut s'avérer plus judicieux de contacter le responsable sécurité ou juridique d'une entreprise de taille et secteur similaire. Attention cependant à ne pas prendre pour argent comptant les conseils de proches, peut être pas si bien informés : « Dans une entreprise que je connais du Loir et Cher, un grand commissaire aux comptes a fait remonter qu'il suffisait d'écrire une charte et de la faire connaitre aux utilisateurs pour se mettre en conformité GDPR », raconte le délégué général du Cesin. « Si on croit qu'avec une charte on va être conforme on se trompe ». Si le temps presse et sans appui d'un pair, pourquoi ne pas demander de l'aide en recourant à la place de marché mise en place par l'AFCDP ? Un geste loin d'être désespéré et qui peut éviter quoi qu'il en soit les mauvaises rencontres : « On s'est aperçu que les responsables de traitement étaient comme des lapins dans les phares d'une voiture [tétanisés donc]. Cette place de marché permet de poster des demandes et aux membres de l'association d'y répondre, ce n'est pas un label qualité mais on connait le sujet ».