Dans quelques mois, le règlement européen sur la protection des données personnelles (GDPR en anglais ou GDPR en français) entre en vigueur alors qu'une large majorité des entreprises, à en croire les multiples études réalisées depuis quelques mois sur ce sujet, méconnaisse encore ce règlement (voir partie 2). Par exemple, pour le cabinet KPMG, qui a réalisé une étude sur le GDPR au printemps dernier, ce sont plus de 70 % des entreprises qui n'ont pas une bonne connaissance du règlement. Un point plutôt inquiétant d'autant que les entreprises qui ne respectent pas le GDPR sont potentiellement soumises à de fortes amendes, lesquelles peuvent atteindre 4 % du chiffre d'affaires, jusqu'à un montant maximal de 20 millions d'euros. Concernant ces sanctions, Vincent Maury, CTO de DenyAll, tempère : « A mon avis, en cas de fuites de données, les premiers blâmes, après audits, ne seront pas donnés avant 2019, les autorités afficheront une certaine souplesse la première année. » A ne pas douter que quelques gros acteurs, notamment du web et de nationalité américaine, peu soucieux des données personnelles, seront les premiers surveillés par les autorités européennes. A en croire certains experts, ils feront potentiellement les frais d'une sanction pour montrer l'exemple... En attendant, la dernière sanction infligée au loueur de véhicules Hertz par la CNIL sur des manquements à mieux protéger les données de ses utilisateurs (en vigueur de la loi pour une République numérique du 7 octobre 2016, présentée par Axelle Lemaire) laisse augurer de ce qu'il adviendra aux entreprises qui négligeraient de protéger les données personnelles après la mise en application du GDPR.
Rappelons que ce nouveau règlement, qui remplace l'actuel régime de déclaration des traitements à la CNIL (rendu public depuis peu), oblige les entreprises, mais aussi leurs prestataires et sous-traitants, à tenir un registre de mise en conformité des données personnelles. Ce règlement recommande aussi aux entreprises concernées de faire appel à un DPO. La désignation de ce dernier est même obligatoire pour les organismes publics et pour les entreprises dont l'activité exige un suivi régulier et systématique à grande échelle des personnes concernées ou dont l'activité consiste en un traitement à grande échelle de données particulières (données de santé, données sur l'opinion politique ou religieuse, l'orientation sexuelle, etc.). En dehors de ces cas, la désignation sera facultative mais encouragée par les membres du G29, groupe des CNIL européennes.
Le DPO, d'abord un spécialiste du droit
Pour les grandes entreprises privées et publiques, la nomination d'un DPO (Data Protection Officer) devrait juste apparaître comme une simple formalité. En effet, celles-ci disposent très souvent d'un service juridique ou d'un correspondant informatique et libertés (CIL), souvent bien formé en droit, qui, bien avant l'entrée en vigueur prochaine du GDPR, était déjà en charge de la problématique des données personnelles. A titre indicatif, 33 % des répondants à l'enquête de KPMG sur le GDPR indiquent que leur direction juridique est en première ligne pour initier la mise en conformité du règlement européen contre seulement 12 % pour le RSSI. Quant au DSI, son rôle est tout aussi important puisque le système d'information se doit d'être en règle avec ces obligations légales. « Le juriste, quand il existe dans l'entreprise, est le principal garant du respect de la conformité. Le DSI, complémentaire, se met, quant à lui, en obligation par rapport à ce règlement en effectuant une vérification et un suivi rigoureux, notamment auprès des prestataires, lesquels se doivent aussi de nous fournir un registre », indique Olivier Cavrois, DSI à temps partagé chez Référence DSI. Bien sûr, le décideur IT (DSI, RSSI, etc.) peut aussi devenir un DPO, des formations vont d'ailleurs se multiplier, dès la rentrée, pour acquérir les compétences nécessaires, elles sont généralement dispensées par la CNIL, des universités (Paris II ASSAS, Paris Nanterre, etc.), des écoles supérieures ou même des centres de formation comme Anaxil-DPMS, ce dernier dispensant des formations labellisées CNIL et Bureau Veritas dédié aux CIL/DPO internes, externes et mutualisés.
Un budget considérable pour les gros manipulateurs de données personnelles
Pour les PME, la solution la plus simple est de faire appel à un DPO externe comme le font déjà certaines pour leur comptabilité avec un expert-comptable tiers. Des prestations de ce type fleurissent déjà sur le web, ces DPO externes se chargent des déclarations préalables auprès de la CNIL, de la rédaction du registre obligatoire, du suivi ou encore de la sensibilisation auprès de tous les collaborateurs. Bref, ils doivent répondre aux exigences de l'article 39 du GDPR qui définit leurs missions. Concernant le budget alloué à la mise en place du réglement, les premiers retours montrent déjà un montant de plusieurs millions pour les grandes organisations. Wavestone s'est d'ailleurs livré à quelques estimations plutôt édifiantes : de 1 à 5 millions d'euros pour les entreprises disposant d'un nombre raisonnable de données personnelles et de 20 à 50 millions d'euros pour les structures possédant plusieurs métiers et de très nombreuses entités/filiales. A noter que pour certains très grands acteurs internationaux, les premiers engagements budgétaires ont même été de plusieurs centaines de millions d'euros.
Suivez-nous