Le Règlement Général sur la Protection des Données (RGPD ou, en anglais, GDPR) entre en vigueur le 25 mai 2018 sur tout l’espace européen. Si cette nouvelle réglementation est perçue comme une opportunité par certains, d’autres la redoutent ! Et ce, d’autant que nul n’est jamais à l’abri d’une perte ou d’un vol de données, voire d’une cyber attaque. Comment se prémunir de ces fuites de data ? Petit tour d’horizon avec le Professeur Jacques Folon, partner chez Edge Consulting, société de conseil en management.

Attendre une cyber-attaque pour agir ? Certainement pas !

Jacques Folon insiste sur la notion de prévention, et ce, pour tout entrepreneur : « Quel que soit le secteur d’activité, nous sommes tous amenés à manipuler - plus ou moins - des données personnelles (numéros de téléphone, numéros de comptes, adresses postales, enregistrements caméras, etc.). Aussi, nous sommes tous concernés à notre échelle. Toute personne qui collecte ou traite des données personnelles est responsable de leur sécurité. Mais n’attendez pas une cyber-attaque pour agir ! En effet, en cas de plainte, la commission vie privée (ndlr : après le 25 mai 2018, elle s’appellera ‘l’autorité de protection des données’) opérera des contrôles au sein des entreprises en cause. Cet organisme tiendra compte des mesures préventives qui y auront été prises.  Pour les entreprises ne respectant pas les règles, des amendes pouvant atteindre jusqu’à 4% du chiffre d’affaires annuel pourront être imposées ».

Déployer des moyens qui correspondent à son secteur d’activité

Selon le RGPD, l’entrepreneur doit implémenter des « mesures techniques et organisationnelles » afin de garantir un niveau de sécurité adapté. Si cette notion est vague, elle n’en est pas moins importante. Cependant, en l’absence de contours précis en matière d’obligations, il est difficile de savoir précisément comment se mettre en ordre.

Dans la pratique, le niveau de sécurité à déployer va plutôt dépendre du secteur d’activité et du type de données que l’on manipule. Jacques Folon illustre : « Evidemment, le patron d’une PME ne devra pas prendre les mêmes mesures que la CIA ou un ministère ! Le responsable d’une équipe de football qui se voit voler les coordonnées relatives à l’achat des équipements (taille des maillots, pointure des joueurs…) aura moins à craindre qu’un cabinet médical qui brasse des données privées, voire même sensibles. En fait, l’autorité de protection des données va surtout considérer que les entreprises ont plutôt une obligation de moyens, c’est-à-dire qu’elles doivent s’engager à fournir tous les efforts nécessaires pour garantir la sécurité des données ».

 

Plan d’action interne : par où commencer ?

Que vous soyez une petite ou une grande entreprise, comment faire pour mettre en place toutes les mesures préventives possibles ? Dans le cadre du nouveau règlement, et ce, avant le 25 mai 2018, toute entreprise concernée devrait avoir établi un plan d’action en matière de sécurisation des informations et pouvoir prouver que les données à caractère personnel sont bien protégées et inexploitables en cas de vol ou de cyber attaque. 

Ce plan d’action peut contenir :

  • la mise en place de mesures techniques telles qu’un anti-virus, un firewall, des méthodes de sauvegarde ou des backups;

  • une politique de protection des accès aux données (chiffrement des données confidentielles, mots de passe, gestion des droits d’accès) ;

  • une sensibilisation des collaborateurs de l’entreprise via une charte des bonnes pratiques, la mise en place de règles de sécurité à appliquer ou des formations données en interne par des spécialistes ;

  • un processus de gestion des incidents via, par exemple, l'inventaire des données à protéger, le recensement et l'attribution des responsabilités en cas de cyber attaque, les capacités disponibles en interne ou externe pour élaborer la réponse à l’incident, l'équipement et la technologie nécessaires pour détecter et gérer les incidents de cybersécurité, une stratégie de communication à l’intention des parties prenantes internes et externes et des autorités, etc. ;

  • last but not least, au vu de la tâche et de son importance : la désignation d’un responsable RGPD en interne ou, si ce n’est pas possible, l’externalisation de ce service auprès d’un spécialiste ou autre consultant ;

  • … .

Vous retrouverez les lignes directrices dans une checklist qui permet d’estimer le niveau de conformité de son entreprise en matière de sécurisation de l'information et de bonnes pratiques de management : il s’agit de la norme ISO 27002.

Que faire quand il y a eu préjudice et que le mal est fait ?

Si le système informatique de votre entreprise subit une cyber attaque et qu’il y a constat de vol ou perte d’informations, il est temps de réagir : « Lorsque l’on constate le préjudice, on a 72 heures pour en référer à l’autorité de protection des données. Si on estime qu’il y a atteinte aux droits ou aux libertés fondamentales des personnes concernées, il faut les prévenir toutes. Il en va de la réputation de son entreprise. D’autant qu’un client, citoyen, patient, usager d’un service… peut porter plainte contre l’entreprise auprès de l’autorité de protection des données. Celle-ci va alors réaliser un contrôle au sein de l’entreprise. Et c’est là que le travail de prévention réalisé en amont aura tout son sens ! ». En effet, l’entreprise doit pouvoir justifier, documentation à l’appui, qu’elle avait bien pris les mesures prophylactiques qui s’imposaient. Il incombera ensuite à l’autorité de protection des données de répondre à cette question : « Les mesures prises étaient-elles cohérentes et suffisantes au regard du secteur d’activité de l’entreprise ? ».

Nous l’avons vu, il y a certes de quoi se poser des questions, voire s’inquiéter. Cependant, les outils à disposition permettent à chaque entreprise de prendre des mesures préventives concrètes, propres à son secteur d’activité et surtout adaptées.

Jacques Folon

Jacques Folon

Le Professeur Jacques Folon enseigne la dynamique de travail dans les organisations à l’Université Saint-Louis. Il est aussi Partner chez Edge Consulting, une société de conseil en Management.