Le compte à rebours est lancé. Dans moins d'un mois, le Règlement général sur la protection des données (RGPD) sera mis en place. Cette réglementation européenne vise à renforcer la protection des données personnelles stockées par les entreprises, quelle que soit leur taille... et leur pays de résidence : le RGPD s'applique dès lors que les données concernent un citoyen européen. Dès le 25 mai 2018, les entreprises devront prouver qu'elles sont en mesure de sécuriser les données personnelles de leurs clients, de leurs salariés, de limiter la collecte de ces données au strict nécessaire, d'expliquer avec quelles autres entreprises elles partagent ces données et pourquoi, d'obtenir de leurs clients un consentement éclairé sur un sujet précis, en l'expliquant de manière simple.

Pour toutes les entreprises, il va donc falloir se mettre aux normes sous peine d'une amende pouvant aller jusque 4% du chiffre d'affaires mondial.

"Il faut se rendre compte que les données sont une chose précieuse, d'autant plus lorsque on les monétise. En Europe, jusque là c'était la règle du pas vu, pas pris. Cette réglementation amorce un changement dans la culture d'entreprise plus qu'une mise en conformité. Avec la pression du risque judiciaire, il va y avoir des actions d'associations de consommateurs", prévient Maître France Charruyer, avocate toulousaine et spécialiste des nouvelles technologies.

Mais face à cette nouvelle transition numérique, les entreprises ne sont pas toutes égales.  CGI est une multinationale canadienne spécialisée dans les services informatiques rendus aux entreprises. Implantée à Toulouse où elle emploie 800 personnes, elle a déjà intégré les process de la mise aux normes.

"Le RGPD est axé sur trois parties, la formation du personnel de l'entreprise, la création d'un registre des données pour identifier ce qu'elles contiennent et  la mise en place d'outils pour archiver ou faire disparaitre des données qui ne sont pas nécessaires. Cela fait deux ans que l'on a amorcé ce dossier. Nous avons un chief data officer au niveau mondial et aussi un par pays", explique Laurent Gerin, vice-président Sud-ouest de CGI.

Le Chief data officer ou directeur des données (CDO) est un expert des données internes et externes de l'entreprise capable de les optimiser au maximum pour gagner en rentabilité. Une fonction qui n'est pas une obligation du RGPD, à la différence du Data protection officer ou délégué à la protection des données (DPO).

Le DPO, chef d'orchestre du RGPD

La Commission Nationale de l'Informatique et des Libertés (CNIL), l'affirme, la désignation d'un DPO est fortement recommandée et obligatoire dès lors que "vous êtes un organisme public, une entreprise dont l'activité de base vous amène à réaliser un suivi régulier et systématique à grande échelle, ou à traiter des données dites "sensibles" ou relatives à des condamnations pénales et infractions". Comment alors ne pas penser aux banques, dont le coeur d'activité suppose de suivre régulièrement ses clients et qui apparaissent comme des figures centrales dans le domaine de la protection des données.

"Nous avons une chance, c'est que nous sommes une banque. Nous n'avons pas attendu qu'une loi soit mise en place pour sécuriser des données. Avec le RGPD, ce qui change pour nous c'est notamment l'accompagnement de nos collaborateurs en interne. Nous souhaitons que cette démarche soit comprise et partagée par tout le monde et non perçue comme une obligation", commente Gérald Manzanares, directeur du marketing du groupe Crédit du Nord qui compte 8800 collaborateurs, dont 650 à la banque Courtois, émanation du groupe dans le grand Sud Ouest. Une impulsion soulignée par Jean-Marc Chauvière, DPO du groupe Crédit du Nord :

"Aujourd'hui, nous avons des actions régulières menées au niveau de notre intranet, sous forme ludique. Nous mettons en place un e-learning destiné à l'ensemble de nos collaborateurs dans l'objectif de généraliser et banaliser la prise en compte du principe de protections des données. Enfin il y aura des formations pour des acteurs, par exemple nos collaborateurs du réseau bancaire, comme les conseillers clientèle entreprise. Il est important qu'ils se soient appropriés cette problématique de protection des données pour pouvoir échanger avec leurs clients entreprises".

Un guide arrivé tardivement

Mais si les grandes entreprises ont anticipé longtemps à l'avance les changements causés  par le RGPD parce qu'elles en avaient les moyens et étaient déjà engagées dans ce processus, il n'en est pas de même du côté des petites structures.

"Jusque-là, on avait que des bruits de couloir qui nous disaient attention il va falloir se mettre aux normes. Si le 25 mai vous n'êtes pas prêts c'est 4% de votre chiffre d'affaires. 4% quand on est petit c'est beaucoup. Il fallait se mettre aux normes mais comment ? Concrètement, nous n'avions  pas les outils. Maintenant on les a, la CNIL et BPI France ont édité un guide sur la RGPD le 17 avril. Ce guide, même si je le trouve très bien fait, est arrivé tardivement" note Sandrine Jullien Rouquier, créatrice du Ludilabel, une start-up de 22 personnes spécialisée dans les étiquettes thermocollantes.

Depuis trois mois l'entrepreneuse se fait conseiller par un cabinet d'avocats sur la partie juridique. Elle a fait de son chef de projet CRM, du nom du logiciel en charge de la gestion des clients, le référent pour la protection des données et a demandé aux trois développeurs web de sa société d'établir une cartographie des données utilisées par Ludilabel pour faire le tri.

Même démarche chez Telegrafik. Cette start-up de 14 personnes a développé OtonoMe, une application de téléassistance. L'idée, veiller à la sécurité des personnes âgées en installant des capteurs capables d'enregistrer leurs habitudes de vie et ainsi déclencher un système de suivi voire d'alerte si besoin. L'entreprise qui traite les données de 1500 personnes a elle aussi établi un listing des données il y a un peu plus de six mois pour vérifier qu'elles leur étaient utiles et s'est aussi beaucoup servi du guide de la CNIL, notamment pour le volet prestataire.

Une entreprise ayant désormais l'obligation de veiller à ce que ses sous-traitants respectent la loi "nous avons fait la démarche de savoir si ils étaient ou allaient se mettre en ordre", explique Marine Raoult, chef de projet et délégué RGPD de Telegrafik.

Car le 25 mai, il faudra à défaut d'être aux normes, montrer que l'on en prend le chemin. Une tolérance confirmée par la CNIL, mais jusqu'à quand ?