Créée par le règlement EU de 2016 (1) afin de lutter contre le vol de données sensibles via les réseaux informatiques et internet, la réforme tend à renforcer et à unifier la protection des données pour tous les individus au sein de l'Union européenne. Ce règlement s'applique dès à présent à toute entreprise (automobile, hôtellerie, banque, site e-commerce, santé, objets connectés...) française comme étrangère qui collecte et manipule des données clients, partenaires, données individuelles concernant des citoyens européens. Toutes les sociétés multinationales, PME, TPE, artisans, professionnels etc. gérant au moins un fichier clients sont concernés. La valeur du Règlement européen est supra nationale, de sorte qu'il s'impose à toutes les entreprises et à valeur de Loi (2)

99%des entreprises sont concernées

Ne négligez pas cette nouvelle obligation. Les enjeux sont nombreux pour le professionnel et les sanctions loin d'être anodines. L'entreprise comme le professionnel peuvent se voir appliquer une amende pouvant atteindre 4% de son chiffre d'affaires.

4% du CA annuelC'est le montant de l'amende GDPR

Cette pénalité financière prévue par le GDPR s'ajoute bien évidemment aux préjudices importants liés au piratage informatique et aux vols de données (comme les pertes financières, la baisse de la notoriété de la marque, etc.).

20 Millions d'eurosC'est l'amende maximale

Par exemple, pour une TPE ou un artisan plombier réalisant un chiffre d'affaires de 500.000 euros à l'année, cela représente une amende de 20.000 euros ! Calculez le montant que cela représente pour vous en termes de risques !

#Enjeu n°1 : Lancer le projet RGPD 2018

Le chantier prioritaire est la compréhension du besoin lié à la mise en conformité.  

60% des attaques et vols de données en 2017 concernent une PME

Ministère de l'Intérieur, janvier 2017

Il s'agit de combattre la cyber malveillance sous toutes ses formes : détournement d'e-mail, vol de cookie de navigation, propagation de fichiers malicieux, vol de coordonnées bancaires, rançongiciels, notamment.

Liste des données personnelles concernées par la GDPR

Toute entreprise doit au plus tard en mai 2018 garantir et prouver en cas de contrôle, qu'elle a protégé de manière appropriée les données personnelles directes (ex : Nom et prénon) comme indirectes (ex : numéro de permis de conduire) qu'elle détient, telles que :

  • les données personnelles (identité, adresse, photo, etc.) figurant dans des fichiers numériques (y compris les données concernant ses salariés) ;
  • le numéro IBAN (compte bancaire) ;
  • les numéros de téléphone ;
  • les numéros individuels (ex : numéro de Sécurité Sociale, n° de TVA intracommunautaire, numéro contrat de complémentaire santé, etc.) ;
  • les identifiants, code d'accès, mots de passe ;
  • les données biométriques qu'elle détient ;
  • les données de géolocalisation GPS et IP (y compris celle des véhicules) ;
  • les enregistrements de caméras qu'elle détient ;
  • les pièces justificatives personnelles (photocopie carte d'identité, passeport, justificatif de domicile, relevé bancaire, carte vitale, etc.) ;
  • etc.

En outre, elle doit veiller à ce que ces données, en cas de vol, soient inexploitables et donc incomplètes ou cryptées.

Une donnée personnelle, c'est toute information relative à une personne permettant de l'identifier

Me Murielle Cahen

Par ailleurs, l'entreprise doit fournir des informations précises sur la pratique de collecte et de conservation des données personnelles. Tous les usagers doivent disposer d'une information claire et précise sur la façon dont leurs données sont traitées et protégées. 

En résumé, pour tout comprendre

  • mettre en oeuvre les meilleures pratiques avant mai 2018 ;
  • appliquer les principes de "privacy by design" et "privacy by default" et les intégrer systématiquement dès la conception de tous projets et initiatives portant sur des données personnelles ;
  • garantir le consentement clair et explicite des personnes, clients, prospects... ;
  • permettre le droit à l'oubli ;
  • garantir le droit à la portabilité des données ;
  • nommer un délégué à la protection des données (DPO) si la taille de l'entreprise l'exige (3).

Tous les #enjeux GDPR 2018