Protection des données personnelles : Maîtriser les cyber risques pour tous !
Selon le baromètre Mission RGPD, seulement 5,5 % des PME et ETI maîtrisent les risques liés au règlement sur la protection des données personnelles (RGPD), qui impacte tous les domaines de l’entreprise, des ressources humaines aux activités commerciales. Depuis 2018, ce texte vient "renforcer les droits des personnes en leur donnant davantage de contrôle sur leurs données personnelles, tout en imposant des obligations claires aux organisations qui les collectent et les traitent". Ce cadre juridique européen harmonisé s’applique à toute organisation qui traite des données personnelles (1), dès lors qu’elle est située dans l’Union européenne ou que son activité cible des résidents européens. Son ambition : réduire les risques de distorsion de concurrence tout en soutenant le développement des activités numériques, en se basant sur la confiance des utilisateurs.
Cybersécurité : le risque zéro n’existe pas
"Actuellement, 94,5 % des entreprises évaluées sont exposées à de nombreux risques, tant dans leurs activités en France que dans leurs opérations à l’échelle européenne", rappelle Aymeric Guyard, co-fondateur Mission RGPD qui les incite à être conforme au RGPD. Si les pénalités appliquées par la Cnil (2) peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires, le consultant RGPD Rodrigue Fanou déplore que "les dirigeants voient cette mise en conformité comme une contrainte, un coût, alors que la donnée qu’ils traitent a beaucoup de valeur… Ils ne s’en rendent compte que le jour où ils se font pirater !" À l’heure où 82 % des PME non préparées ne survivent pas à une cyberattaque majeure, le RGPD est l’opportunité de renforcer la sécurité de toutes ses données. "Il faut sensibiliser tous ses collaborateurs, surtout avec les outils IA où certains envoient des informations stratégiques ou confidentielles", souligne Rodrigue Fanou qui rappelle les grandes étapes à suivre : "recensez toutes vos activités qui nécessitent la collecte et le traitement des données personnelles ; triez ces données et déterminez leur durée de conservation ; respectez les droits des personnes en les informant dans un langage clair et sécurisez vos données". Appelé à jouer le rôle de DPO (3) externe, Rodrigue Fanou reconnaît que "le plus délicat est de nommer ce garant de la conformité, dont le rôle peut aller à l’encontre des intérêts économiques de la société". 40,4 % des PME et ETI en n’ont d’ailleurs pas nommé, selon Mission RGPD.
Confiance et transparence auprès des clients comme des partenaires
"La conformité est aussi requise par ses partenaires et clients qui seront ainsi rassurés par une gestion rigoureuse", ajoute Rodrigue Fanou. Un avantage concurrentiel. D’autant que si les données personnelles ne sont pas au cœur de son activité, à l’instar de Vit’all+ (cf encadré), les moyens à déployer restent accessibles.
Or les effets de cette réglementation peuvent créer un cercle vertueux : "protéger ses données vient renforcer la confiance des clients et améliorer sa compétitivité ", rappelle Aymeric Guimard. Rodrigue Fanou ajoute que "la Cnil sanctionne régulièrement les organismes de toute taille en cas de manquement ; mais elle est aussi dans l’accompagnement spécifique des TPE-PME dans la prise en compte de la sécurité informatique. Lorsqu’elle vient les contrôler, c’est souvent suite à des plaintes de clients". Il est primordial de respecter les droits de ses utilisateurs, dont la satisfaction concourt directement à l’image de marque de l’entreprise !
Élise Pierre
(1) Une donnée personnelle est "toute information se rapportant à une personne physique identifiée ou identifiable".
(2) Commission nationale de l’informatique et des libertés.
(3) Délégué à la protection des données.
Plus d'information
À Sargé-lès-Le Mans, Vit’all+ propose la formulation, fabrication et distribution d’une gamme de 340 références de compléments alimentaires. Codirigeant et DPO, François Serrault place ses compétences en informatique au service de la protection des données de toute l’entreprise…
"Avant même le RGPD, nous avions mené un gros travail sur la cybersécurité", confie François Serrault, codirigeant de Vit’all+ qui reconnaît que leur activité de fabricant et distributeur de compléments alimentaires, certifiée Iso 22000, Ecocert et Botani+, va de pair avec des exigences réglementaires élevées, limitant les risques, a fortiori sur un marché B to B. "Nos clients étant des magasins de diététique et des parapharmacies, nous gérons très peu de données personnelles, c’est seulement si nous lançons un site e-commerçant que nous renforcerons nos clauses". Pour progresser sur le RGPD, François Serrault a déployé un logiciel RH auprès des 45 salariés : "cette plateforme n’est pas reliée à leur mail professionnel, les salariés y accèdent à tout moment, via un coffre-fort numérique où sont leurs bulletins de salaires et autres datas personnelles". Avec des avantages comme la durée de conservation des documents, qui passe sous la responsabilité de chaque salarié. "Le RGPD, ça ne fonctionne que si les salariés sont dans la boucle", conseille-t-il.
Des actions qui protègent les données des salariés… et l’entreprise
"Nous avons travaillé sur l’agenda afin que les raisons des absences y soient standardisées et, sur la partie image, nous faisons signer des décharges de droit par exemple lors des événements". Autant d’actions impliquant les salariés, qui ont compris les risques engendrés par le partage de leurs données. "Les salariés participent à des ateliers et je les teste via des mails d'hameçonnage, en sus des protocoles de sécurité", précise le codirigeant qui a mis en place une politique rigoureuse. Accès au réseau de l’entreprise sécurisé par une double authentification y compris en télétravail, intégration du logiciel d’analyse mail in Black… "La société évite 4 à 5 attaques sérieuses par an. J’enferme les attaquants dans des "bacs à sable", un appât avec de fausses données, où ils viennent pensant pirater des datas de valeur… et là je les repère aussi !", précise l’expert en SI, qui n’a qu’un regret : "je n’ai pas réussi à trouver un salarié volontaire pour déléguer ce rôle de DPO".
