La mise en conformité avec le RGPD est une obligation pour tous les organismes français depuis le 25 mai 2018. Pourtant, trop de structures n’ont pas encore franchi le pas à cause de quelques idées reçues tenaces… et fausses !
Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en 2018. Cela concerne toutes les entreprises ou associations basées en Europe, mais aussi celles qui ont une activité en Europe (ce qui inclut de nombreuses entreprises américaines et asiatiques). Pourtant, de très nombreuses organisations (il s’agit généralement des TPE et PME) n’ont pas encore amorcé leur mise en conformité, la plupart du temps par manque de temps, mais aussi et surtout par manque d’information sur le sujet.
En France, c’est la CNIL qui est chargée de faire respecter cette réglementation obligatoire, et les amendes peuvent être lourdes en cas de graves manquements : jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires annuel mondial lorsqu’il s’agit d’une très grande structure.
Nous nous sommes entretenus avec Cyril March, ingénieur informatique de formation, et Délégué en Protection des Données (DPO) externalisé chez INKIVARI, une entreprise vosgienne spécialisée dans le conseil en RGPD. Plutôt que de miser sur la répression, Cyril préfère l’approche pédagogique afin de sensibiliser les organismes français sur les véritables enjeux du RGPD.
Le RGPD, ça ne sert à rien ?
L’un des plus gros problèmes de la mise en place du RGPD en France réside dans le fait que les entreprises ne se sentent pas concernées (alors que c’est pourtant obligatoire pour tout le monde), ou qu’elles ne comprennent pas les véritables enjeux du règlement. Comme le dit Cyril March : « si on voit le RGPD comme un enjeu où il faut juste cocher des cases, ça ne sert à rien, alors que si on est capable de voir à quoi ça sert derrière, ça apporte énormément, sur des sujets juridiques ou de sécurité par exemple ».
Plutôt que de songer aux amendes de la CNIL, les organismes français devraient prendre conscience qu’il s’agit avant tout de protéger les personnes, y compris (mais pas seulement) les personnes fragiles. En effet, qu’il s’agisse de votre fiche de renseignement en tant que salarié d’une entreprise, ou des données de votre compte client lorsque vous effectuez un achat en ligne, personne n’a envie que ces données personnelles se retrouvent entre de mauvaises mains suite à une cyberattaque. C’est de cette manière qu’il faut le voir : le RGPD existe pour attirer l’attention des entrepreneurs sur des sujets qui sont trop souvent délaissés, alors qu’ils pourraient présenter des risques.
Pour faire des économies, de très nombreuses structures confient par exemple la conception de leur site web à des connaissances ou à des stagiaires ou étudiants en alternance. C’est une grave erreur. Et même lorsqu’elles confient cette mission clé à des professionnels de la création de sites internet, il n’est pas certain qu’ils soient aussi alertes sur les sujets du RGPD que sur le webdesign. En résumé : quand on veut un site internet, on se soucie en premier lieu de ses fonctionnalités et de son apparence, mais on pense trop rarement à sa conformité avec le RGPD. Pourtant, d’après l’expérience de Cyril March, 30% des sites web ont un port mySQL ouvert et accessible, ce qui signifie que n’importe qui ayant un minimum de connaissance peut afficher ce qu’il veut sur votre site, sans que vous ne vous en rendiez compte. Cela peut par exemple donner de fausses pages implémentées sur votre véritable site web pour détourner les numéros de carte de paiement de vos clients. Personne n’a envie de ça, n’est-ce pas ? Le RGPD est aussi là pour vous aider à choisir des prestataires de confiance, car eux aussi sont censés être en conformité avec le RGPD. Les liens sont ténus entre la cybersécurité et le RGPD, et il est regrettable que tant de structures n’en soient pas encore conscientes. Une information trop peu connue est par exemple le fait que la CNIL doit être obligatoirement prévenue 72 heures maximum après que les données personnelles d’une entreprise aient été compromises, sans parler de toutes les personnes directement concernées par la fuite de leurs données (qui ont la possibilité de porter plainte). Quand on sait que, selon ce rapport du Sénat français daté de 2021, 60% des petites entreprises touchées par une cyberattaque font faillite dans les 6 mois aux Etats-Unis. Vu comme ça, l’enjeu ne se situe plus vraiment du côté des amendes de la CNIL. Et Cyril March ne compte plus les exemples d’entreprises dont le site web a été attaqué suite à un passage à la TV.
Même en interne, les Directeurs des Systèmes d’Information (DSI) ne sont pas toujours sensibilisés aux nécessités du RGPD de leur entreprise, ce qui peut conduire à des erreurs ou des oublis qui pourraient pourtant être facilement consolidés. Cela peut également devenir un enjeu majeur lors de la revente d’une société, car l’acheteur peut exiger que la structure qu’il rachète soit la plus conforme possible, et dans ce cas il vaut mieux être alerte sur le sujet en amont, car la tâche peut être d’ampleur.
Comme le dit Cyril March, l’information la plus importante à retenir est que « Globalement, il n’y a pas une entreprise, une association, ou une collectivité qui n’est pas concernée par le RGPD ». La CNIL effectue ses contrôles partout sur le territoire, même dans les Vosges ! Auprès des grandes entreprises bien sûr, mais aussi des PME ou des startups qui se lancent. Et un audit de la CNIL n’est pas à prendre à la légère, car on pourrait le comparer à l’étendue d’un contrôle de l’URSAAF, mais qui vient vérifier tous les aspects du fonctionnement de votre structure, même ceux auxquels vous n’avez pas pensé. Il est complexe d’être conforme à 100% au RGPD, tant les domaines visés par la réglementation sont vastes. Mais lors d’un audit, il est essentiel de présenter à la CNIL les démarches qui ont été entamées en interne pour maximiser cette conformité. Et comme il n’est pas donné à tout le monde d’avoir conscience du nombre de domaines concernés par le RGPD, il est important de se faire accompagner par un Délégué en Protection des Données comme Cyril March de la société INKIVARI. Ce dernier recommande d’ailleurs la lecture de cet article de la société Alan pour prendre conscience de l’ampleur d’un contrôle de la CNIL.
Le RGPD, c'est compliqué à mettre en place ?
Oui, la mise en conformité avec le RGPD est un chantier conséquent, mais même la CNIL admet qu’il y a des points à traiter en priorité. C’est d’ailleurs parce que la mise en conformité RGPD est ardue qu’il existe des sociétés comme INKIVARI pour vous accompagner. Pourtant, de l’aveu même de Cyril March, « 80% des choses à mettre en place sont très faciles. Il n’y a rien d’exceptionnel. Cela relève de la gestion en bon père de famille, à savoir ne pas mettre tous ses œufs dans le même panier, ne pas faire aux autres ce qu’on n’aimerait pas qu’on nous fasse, etc. »
La mission de Cyril relève avant tout de la pédagogie et de l’éducation aux sujets sensibles dans les entreprises. Avec son expertise, il sait que les plans d’action à mettre en place sont souvent sensiblement les mêmes d’une structure à une autre. Mais cela n’empêche pas sa démarche d’être personnalisée, puisque la prise de contact d’un DPO comme Cyril March débute généralement par l’envoi de questionnaires et par la tenue d’une réunion de démarrage afin de bien cibler les besoins de son client. De plus, la mise en conformité avec le RGPD n’est pas une action qui se met en place en une seule fois. C’est une action continue qui implique la structure à tous ses niveaux, et INKIVARI propose une assistance de 6 mois afin d’accompagner ses clients sur la longueur pour un résultat optimisé et le plus efficace possible. Rien que sur le sujet des sauvegardes informatiques (qui n’est pas anodin en matière de RGPD), il existe diverses bonnes pratiques à mettre en place, et cela ne se fait pas en un jour.
Le RGPD, ça coûte cher ?
Ce n’est pas forcément un bon angle de questionnement, car il ne suffit pas de payer une somme donnée pour s’assurer d’une bonne mise en conformité avec le RGPD. La réussite de cette mission dépend plutôt du degré d’implication du client. Et si on reprend l’information déjà mentionnée ci-dessus qui affirme que 60% des entreprises ayant subi une perte de données font faillite dans les 6 mois aux USA, cela donne une toute autre perspective à la question du coût de la mise en conformité avec le RGPD. Car dans ce cas, la question devient plutôt : « est-ce vraiment cher si ça peut éviter à mon entreprise de mettre la clé sous la porte ? ».
Mais pour faire simple : toutes les options sont possibles. Chez INKIVARI par exemple, il existe des offres d’accompagnement qui débutent à partir d’1 heure par mois, ainsi que des solutions spécialement prévues pour les petites entreprises ou les collectivités afin de prendre en compte leurs spécificités budgétaires ou fonctionnelles.
Le RGPD, ça ne concerne que le secteur de l'informatique ?
C’est probablement l’idée reçue qui véhicule l’information la plus erronnée au sujet du RGPD. Car non, cette réglementation ne concerne pas que l’informatique. Le RGPD concerne tous les supports contenant des informations, donc tous les documents papier (y compris les archives) ainsi que la parole à l’oral. Les documents posés physiquement sur votre bureau, mais aussi ce qu’on peut voir sur votre écran d’ordinateur depuis une fenêtre, ou encore le fait que vos bureaux sont potentiellement accessibles au moment du passage des équipes d’entretien : tout cela relève aussi du RGPD.
Selon Cyril March : « L’une des idées du RGPD, c’est que lorsqu’on n’a plus besoin de quelque chose : on le supprime. Les factures, on doit les conserver 10 ans. Donc au bout de 10 ans et 1 jour : on la supprime. » Et une violation de données peut également se passer à l’oral, comme par exemple si un collaborateur entend dire que le poste d’un de ses collègues est menacé alors que l’information n’a pas encore été partagée à tout le monde.
En conclusion, les enjeux du RGPD rejoignent beaucoup les questions de sécurité au sens large (dont l’hygiène informatique est une part importante, mais qui ne constitue pas l’ensemble des chantiers à aborder). Et c’est ce point qui devrait être la préoccupation principale des entreprises, loin devant la menace d’un audit de la CNIL : la sécurité de l’entreprise.
La sécurité des données et le respect du RGPD sont des enjeux majeur de notre époque, et les TPE/PME doivent se sentir concernées car elles ont l’obligation de se mettre en conformité.
Pour plus d’informations sur ces sujets, la CCI Vosges organise le lundi 09 octobre 2023 une conférence animée par Clément DOMINGO, hacker éthique et cofondateur de l’ONG Hackers Without Borders. Cet événement est créé en partenariat avec le Conseil Départemental des Vosges et la société INKIVARI, entreprise vosgienne experte en RGPD.
