Après Optical Center, Dailymotion et Assistance Centre d’appels, l’Alliance française Île-de-France s’est vu infliger par la Commission Nationale Informatique et Libertés (Cnil) une amende de 30 000 euros. Motif : elle a laissé accessibles 413 144 documents contenant des données à caractère personnel (DCP). Contrevenant ainsi au Règlement Général sur la Protection des Données personnelles (RGPD), entré en vigueur le 25 mai dernier dans toute l’Union européenne. Le pouvoir de sanction de la CNIL est désormais important : l’amende peut atteindre 4% du chiffre d’affaires mondial, ou 20 millions d’euros. Flirtant avec le sentiment d’urgence et de crainte, un florilège d’arnaqueurs tente de profiter de l’aubaine : fausses listes des entreprises certifiées pour la réalisation de l’audit, numéros de téléphones surtaxés pour se renseigner, guides de mise en conformité comme produits d’appels…
Guide de la CNIL et de Bpifrance
Pas de panique ! Pour les dirigeants désireux de savoir comment se mettre en conformité, La CNIL et Bpifrance ont réalisé le « Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises ». « En 62 pages, celui-ci traite le sujet de façon simple, limpide et pragmatique », indique Dominique Soulier, administrateur au Club de la sécurité de l’information français (Clusif). Ce guide propose de passer à l’action en quatre étapes. D’abord en cartographiant les données personnelles et en construisant le registre de leurs traitements (recrutement, paie, gestion commerciale, etc.), puis en détruisant celles qui sont inutiles. Ensuite, il s’agit de respecter l’obligation de transparence : la raison de la collecte des DCP, le processus pour les modifier ou les retirer de la base de données. Enfin, sécuriser les données… Ce travail peut aussi être confié à des prestataires. La CNIL propose une liste de prestataires labellisés pour l’audit et la formation : cabinets d’avocats, sociétés de conseil, cabinets de conseil en cybersécurité… Mais cette liste n’est pas exclusive – la CNIL a d’ailleurs cessé de délivrer ces labels et travaille sur une certification – et des prestataires non répertoriés peuvent être tout aussi sérieux. Le cabinet Akerva, qui n’est pas labellisé, a ainsi élaboré deux modules d’e-learning, le premier sur la sensibilisation des collaborateurs au RGPD et le second sur la protection des données.
Tenue des registres
Le prix de l’audit et de la mise en conformité varie en fonction de l’activité et de la taille de l’entreprise, ainsi que de sa maturité en cybersécurité. Les TPE et PME dont le cœur de métier ne porte pas sur les DCP peuvent établir elles-mêmes leur diagnostic, qui débouche sur la tenue du registre des traitements et la sécurisation des données personnelles. En s’adressant à un cabinet d’audit, « pour 2 000 euros, elles obtiennent le registre des traitements ainsi que la revue des mentions à publier sur le site Web et les documents commerciaux (factures, CGU, CGV, etc.) pour informer les personnes de leurs droits », détaille Morgan Marat, consultant sécurité chez Akerva. Pour un accompagnement complet (juridique, organisationnel et technique, « il en coûtera 10 000 à 20 000 euros à une TPE-PME, jusqu’à plusieurs millions d’euros à une multinationale », souligne Jérémy Harroch, PDG de Quantmetry, une start-up d’IA spécialisée dans la valorisation de la donnée. Afin de couvrir les risques, il est également conseillé de contracter une cyber-assurance. Toutefois, « aucun assureur ne couvre le risque ‘‘diagnostic RGPD’’, prévient François Beaume, vice-président de l’Association pour le management des risques et des assurances de l’entreprise (Amrae). En revanche, certains proposent des assurances cyber qui prennent en charge une partie de l’exposition liée au RGPD. Entre autres, les frais de notification aux usagers, les frais de communication ainsi que de perte d’exploitation. »
Erick Haehnsen
Commentez