RGPD : la tempête n’est pas passée !

Ce n’est pas parce que les inquiétudes liées à l’entrée en application du RGPD sont passées que les impératifs fixés par cette réglementation ont disparu. Beaucoup de sociétés font encore l’autruche, et ignorent le risque de sanction qui pourrait aller jusqu’à compromettre leur existence même.

Mélanie Gagnon, CEO – MGSI

Le 25 mai dernier le Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais) est entré en application dans toute l’Union européenne. Alors que cette date approchait, de nombreux avertissements, relayés par les médias, avaient poussé beaucoup d’organisations à accélérer leur mise en conformité. Il faut dire que si certaines règles du RGPD existaient déjà, les importantes sanctions que ce nouveau règlement européen fixe ont eu un effet anxiogène sur les organisations et les ont poussées à agir. Toutes, cependant, n’ont pas suivi cette démarche. « Certaines sociétés estiment qu’à présent elles ne doivent plus fournir d’effort pour se mettre en conformité, indique Mélanie Gagnon, CEO de MGSI, société spécialisée dans la protection des données et la sécurité de l’information. Pourtant, les risques sont toujours très importants. En effet, il ne se passe pas un jour sans qu’on entende parler d’une fuite de données, même au sein de grandes sociétés bien protégées. Or, vu le montant des amendes prévues par le RGPD, les petites structures risquent de mettre en péril leur existence même si elles ne mettent pas en place les mesures nécessaires pour prévenir ces fuites de données. »

 

Le danger de garder la tête dans le sable

Les organisations doivent désormais notifier à l’autorité de contrôle compétente toute violation de données à caractère personnel susceptible de présenter un risque pour les individus. Cette notification doit intervenir dans les 72 heures qui suivent la prise de connaissance de la violation. Celle-ci peut avoir des causes multiples : il peut s’agir d’une erreur humaine (par exemple la perte d’une clé USB, l’envoi d’un mail à un mauvais destinataire, etc.), d’un acte malveillant ou d’un problème technique. Les risques de voir un tel événement survenir sont donc importants.

En outre, le grand public est aujourd’hui conscient qu’il dispose d’un meilleur contrôle sur ses données personnelles et qu’il peut donc faire des demandes variées aux entreprises concernant ses données. « Ces différents éléments doivent inciter les sociétés à réagir et à se mettre en conformité, poursuit Mélanie Gagnon. On pourrait aussi mentionner le fait qu’une entreprise pourrait être contrainte à se mettre en conformité par un client pour lequel elle sous-traite. »

 

Un service de DPO externe

L’un des freins à une mise en conformité rapide est certainement le manque de ressources humaines des entreprises. Pour remédier à ce problème, MGSI propose un service de DPO (Data Protection Officer/ délégué à la protection des données) externe. « Un DPO externe exerce ses missions le temps nécessaire, au sein de la société qui fait appel à nos services, poursuit Mélanie Gagnon. Ceci garantit que la personne qui occupe cette fonction est indépendante et que l’exercice de ses missions et tâches n’entraîne aucun conflit d’intérêts. Ce sont des exigences du RGPD : on ne peut pas à la fois être DPO et responsable marketing, par exemple. Or, il est clair que certaines petites structures n’ont pas les moyens nécessaires pour engager un DPO interne ayant les compétences nécessaires (juridique, informatique et organisationnelle). Un DPO externe est disponible immédiatement, sans besoin de formation. Il permet aussi aux petites et moyennes structures de se mettre en conformité sans mobiliser un salarié à temps plein ou à temps partiel sur cette fonction. » MGSI propose également le service de back-up au DPO interne. Ainsi, en cas d’incident lors d’une période de maladie ou de congé du DPO interne de l’entreprise, par exemple, un expert de MGSI peut prendre le relais et effectuer les démarches nécessaires.

Dans la palette des services offerts par MGSI, on trouve aussi un accompagnement personnalisé. « L’un de nos services les plus populaires est le privacy by design, explique Mélanie Gagnon. Nous accompagnons nos clients dans le développement de leurs logiciels ou d’autres services en implémentant, dès leur conception, des mesures qui permettent de protéger les données personnelles. On constate en effet que certaines start-ups, par exemple, mettent en ligne des applications qui intègrent un processus KYC ou qui traitent des données de santé sans mettre en place des mesures de protection élémentaires, telles qu’exiger un mot de passe fort ou chiffrer ce mot de passe. »

 

La protection des données, mais à quel prix ?

Au-delà des ressources humaines, les petites structures n’ont pas forcément des moyens financiers considérables à consacrer à la problématique de la protection des données. « En réalité, notre approche est basée sur les risques, rassure Mélanie Gagnon. Nous commençons par analyser ces risques avant de proposer des solutions adaptées. Une société qui traite peu de données personnelles ou des données moins sensibles aura évidemment besoin de moins de services. Sa facture finale ne sera pas très lourde. »

Le poids financier de l’opération n’est donc plus une excuse pour protéger les données de ses clients et partenaires, surtout si l’on considère le montant des amendes prévues par le RGPD.

 

Pour en savoir plus

Pour en savoir plus sur les services de MGSI, rendez-vous sur le site https://mgsi.lu/. La société MGSI sera également présente lors des Internet Days, ces 13 et 14 novembre à la Chambre de Commerce. MGSI est un organisme de formation agréé et organise plusieurs formations et workshops, notamment, en novembre, des formations de préparation aux examens pour les certifications IAPP (CIPP/E et CIPM) ainsi qu’un séminaire RGPD de 2 jours. De nouvelles formations feront leur apparition les 4-5 décembre: workshops sur le DPIA, les RH, le privacy by design et le marketing. Enfin, les Luxembourg Data Protection Days organisés par MGSI seront de retour les 7 et 8 mai 2019. L’occasion rêvée pour entendre des orateurs nationaux et internationaux ainsi que pour découvrir tous les services offerts par MGSI !