Non, le RGPD n’a pas été conçu simplement pour les GAFAM. Non, il ne suffit pas de demander d’accepter les cookies sur un site web ou de redemander la confirmation d’un abonnement à une newsletter pour se mettre en conformité avec le Règlement Général de Protection des Données.
Bien sûr, l’écho d’une faille de sécurité chez Facebook ou Google, amplifié par la mise en œuvre récente de ce règlement et la prise de conscience générale de l’importance des données personnelles, porte nettement plus loin que pour l’immense majorité des entreprises françaises et européennes.
Bien sûr, la dimension mondiale et la visibilité de ces mastodontes du net les expose plus au risque d’attaques et de médiatisation que les autres, d’autant que la donnée personnelle est, pour eux, un élément essentiel de leur ADN, tout comme leurs discours convenus et répétés du type « La sécurité de vos données est importante pour nous ». On l’a constaté ces derniers jours.
Chaque entreprise est exposée
Mais, au regard de la loi, le régulateur européen et ses relais nationaux (la CNIL en France) ne devraient pas faire preuve de plus de clémence pour une PME locale que pour Facebook en cas de défaillance. Tandis que les individus victimes de ce piratage ou vol de datas ne seraient, à faille de sécurité équivalente, pas moins lésés.
Chaque PME ou ETI, en tant que « Responsable du traitement » des données personnelles, doit prendre conscience qu’elle possède des informations sur ses clients, fournisseurs ou salariés qui ont potentiellement une valeur marchande sur le darknet. Leurs systèmes d’information, souvent moins sécurisés que dans les grands groupes, peuvent aussi faire l’objet d’attaques purement gratuites ou de « représailles » par un hacker plus ou moins expérimenté et pour n’importe quel motif : défi personnel, client mécontent, salarié licencié…
Certains réseaux laissent ainsi parfois la porte mal fermée, voire grande ouverte sur des données essentielles comme des adresses mail, mots de passe, numéros de téléphone, coordonnées bancaires ou éléments d’état civil… L’exemple récent de l’attaque du site web d’un grand media hexagonal, L’Equipe, est aussi venue confirmer qu’aucune entreprise n’est à l’abri.
Audit et cartographie des données
Face au piratage, la taille de l’entreprise ne fait donc pas tout. En revanche, il est établi qu’à l’heure actuelle, la plupart des sociétés n’ont pas encore pris les mesures destinées à assurer la sécurité juridique et technique des données induite par le RGPD.
C’est pourtant, pour elles, une occasion unique d’auditer et de mieux connaître chaque maillon de leur architecture d’information, de ses connexions extérieures (API) et d’identifier ses faiblesses : quels types et quels flux de données, qui y a accès, sont-elles conservées ou supprimées, quelles en sont les modes de captation et de stockage, en interne ou auprès d’un partenaire… Soit autant de paramètres que les entreprises doivent maîtriser et cartographier, dans un contexte ou le volume global de ces mêmes données est en croissance exponentielle, y compris pour les plus petites structures.
Vers une gouvernance des données
Cette obligation faite par l’article 30 du RGPD est, en outre, une excellente occasion de définir une gouvernance de la donnée dans l’entreprise notamment en s’appuyant sur des tableaux de bord de pilotage entièrement digitalisés. Une étape qui peut se faire avec ou sans Data Protection Officer (DPO), cette nouvelle fonction qui a émergé ces derniers mois, et dont toutes les entreprises n’ont pas forcément besoin.
Elle doit également faciliter et accélérer l’identification des éventuelles intrusions dans leur système d’information pour les contrer plus rapidement, mais aussi répondre à une autre exigence du RGPD (articles 33 et 34) : prévenir de cette faille dans un délai de 72 heures l’autorité compétente et les personnes concernées. Une obligation que Facebook a bel et bien respecté fin septembre, mais que Google a largement ignoré pour son réseau social Google+, dont le piratage de mars 2018 –certes avant l’entrée en vigueur du RGPD- n’a été révélé que début octobre, essentiellement pour justifier sa fermeture.
Ces deux exemples viennent aussi rappeler l’importance d’une bonne gouvernance en matière d’utilisation et de protection des données pour l’image et pour la qualité de la relation client de l’entreprise. Qu’elle soit grosse ou petite.
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits
