L'Union européenne a décidé d'unir tous ses États membres pour défendre et protéger l'un des nouveaux trésors de l'ère numérique : la donnée. Dans une récente intervention à Toulouse, le patron d'IBM France, Nicolas Sekkaki, disait lui-même que "les données (numériques) sont devenues de l'or". Ainsi, face à l'engouement autour de cette matière abondante à l'heure des smartphones, tablettes numériques et ordinateurs, l'instance européenne a adopté le 27 avril 2016 le Règlement général pour la protection des données, plus connu sous l'acronyme RGPD.

Dès le 25 mai prochain, cette nouvelle législation va encadrer la récolte, le traitement et la gestion des données personnelles et numériques dans l'Union européenne. Seront directement impactées par ce règlement les données qui concernent tous les citoyens et ressortissants européens, toutes les entreprises qui opèrent sur le territoire de l'UE et les données émanant de territoires européens même si l'entreprise qui en a la possession est basée hors UE.

Jusqu'à présent, en France, c'était la loi "Informatique et Libertés" du 6 janvier 1978 qui encadrait à l'échelle nationale la collecte et le traitement des données personnelles. Cette loi qui a notamment donné naissance à la Cnil (Commission nationale de l'informatique et des libertés, ndlr), a été complétée en 2004 par une directive européenne de 1995 voulant harmoniser le droit européen en matière de données personnelles.

Recenser chaque opération sur les données

Désormais, le RGPD sera LE cadre dans lequel les sociétés pourront exploiter les données personnelles de leurs clients, employés et fournisseurs en leur possession. Ainsi, certaines pratiques ont donc été revues. Désormais le responsable de traitement des données d'une entreprise n'aura plus à faire une demande d'autorisation auprès de la Cnil. Une fois accordée, cette autorisation prouvait le respect de la législation. À partir du 25 mai, ce sera au responsable de traitement de démontrer que son entreprise a mis en place toutes les mesures appropriées afin d'être conforme avec la loi européenne.

Pour ce faire, le responsable de traitement devra tenir un fichier contenant l'ensemble des traitements réalisés sur les données personnelles recueillies. Dans ce ficher, chaque traitement d'informations devra être listé et documenté de manière précise, tout en le tenant à jour. La sensibilité de chaque opération devra également être évaluée. Sur la base de cet inventaire qui se veut exhaustif, l'entreprise devra prendre les dispositions nécessaires pour rentrer dans les clous du RGPD. À noter que les sociétés auront 72 heures pour déclarer à la Cnil toute violation de données personnelles.

C'est donc un travail long et fastidieux qui attend les entreprises de l'Union européenne qui récolent des données. Pour accompagner leur responsable de traitement dans cette opération, elles peuvent recruter un DPD : un délégué à la protection des données. Cependant celui-ci devra être totalement indépendant. Il aura pour mission d'informer et de conseiller le responsable de traitement, d'être le référent à contacter pour toute personne souhaitant échanger sur ses données et être l'interlocuteur de la Cnil au sein de l'entreprise. Ce DPD est même obligatoire dans les services publics et dans les entreprises qui traitent continuellement de la donnée.

Pour aider les entreprises dans leur processus de mise en conformité avec le RGPD, la Cnil a publié sur son site internet un guide à suivre en six étapes.

Des amendes dissuasives

Jusqu'à présent, le non-respect de la loi sur le traitement des données personnelles en France pouvait coûter jusqu'à 150 000 euros à l'entreprise fautive avec la loi de 1978. Le RGPD va, lui, beaucoup plus loin. Désormais, l'amende en cas de manquement au RGPD pourra atteindre jusqu'à 4% du chiffre d'affaires annuel mondial de l'entreprise concernée.

Ainsi, de nombreuses sociétés de services informatiques, cabinets de conseils et avocats se disputent ce gros marché en mettant en avant les amendes encourues. En 2018, en France, les entreprises devraient débourser 1,2 milliard d'euros en logiciels et services divers pour se mettre en conformité selon Syntech numérique, le syndicat professionnel des entreprises de services du numérique.

Un investissement important donc mais incontournable face à l'impact financier et aux conséquences en terme d'image pour une entreprise qui ne respecterait pas ce nouveau règlement européen. Selon une récente enquête d'Opinion Way, huit français sur dix sont prêts à boycotter une entreprise qui ne respecterait pas le RGPD et porterait atteinte à leur vie privée.