Il ne leur reste que six mois pour se préparer. Le 25 mai 2018, les entreprises devront avoir mis bon ordre dans leurs fichiers clientèle. Un nouveau règlement européen entre en effet en vigueur. Le RGPD (pour règlement européen pour la protection des données) ou GDPR (en anglais), texte touffu qui dépoussière des règles datant de 1995, impose aux entreprises européennes de mieux protéger, collecter, conserver, les données personnelles de leurs clients.
Conçu pour protéger les libertés fondamentales, parer aux cyberattaques et restaurer la confiance minée par des pratiques commerciales douteuses, le texte astreint les entreprises à de sérieuses transformations. L’objectif étant de les responsabiliser dans la gestion de leurs données : où sont-elles stockées ? A qui appartiennent-elles ? Pour combien de temps ? Selon une étude OnePoll pour Citrix, les entreprises enregistreraient 540 données clients par jour. Une bonne partie les partagent avec des fournisseurs et des partenaires, et 15 % avouent même en perdre la trace… Les entreprises auront fort à faire : mise à jour et sécurisation des fichiers ainsi que des systèmes d’exploitation, études d’impact, process de crise (en cas de faille de sécurité), archivage de la traçabilité du consentement du client… Le principe de protection doit être intégré dès la conception – ce que l’on appelle le « privacy by design ». «« C’est un changement de philosophie important pour les entreprises : nous passons d’un système très déclaratif à un système dans lequel il faudra intégrer, à tout instant, cette protection des données », explique Emilie Dumerain, la responsable juridique du Syntec, syndicat des entreprises conseil du numérique.
Premières concernées : les entreprises du digital ou du commerce dont les portefeuilles de données, souvent garnis, sont un enjeu stratégique. Ainsi, une société qui, à l’occasion d’un jeu commercial, en profitait pour glaner un maximum de coordonnées (mail, adresse, téléphone…) devra se montrer moins gourmande. Idem dans la gestion des newsletters ou autres cookies. Le texte renforce aussi les contrôles et la gamme de sanctions, qui iront de la suspension de données à la mise en demeure, voire à une amende atteignant 4 % du chiffre d’affaires !La menace n’est pas simplement financière. En cas de non-conformité, le coup de semonce viendra aussi des consommateurs.
Un label devrait distinguer les entreprises qui y sont passées. « La sanction viendra surtout des consommateurs, qui, déjà réticents à communiquer leurs données personnelles, privilégieront les marques labellisées », relève Marine Brogli, à la tête de DPO Consulting, spécialisé dansl’accompagnement au RGPD. Les entreprises françaises sont-elles prêtes à franchir l’obstacle ? Les plus grandes s’y préparent. Selon un baromètre IDC pour Syntec Numérique publié le 7 décembre, 58 % des entreprises (*) jugent l’objectif « atteignable » d’ici le 25 mai 2018. Un quart (28 %) a même pris de l’avance et sera en conformité fin 2017.
La plupart de ces entreprises « matures » sur ce dossier ont déjà cartographié leurs données et identifié leurs applications concernées par le RGPD, grâce à leurs directions des services informatiques. En revanche, toutes ne sont pas prêtes : 42 % des entreprises avouent «prendre tout juste conscience du sujet ». Dépourvues de gros services informatiques, moins informées, nombre de PME sont à la traîne. Certes, la directive est moins contraignante pour elles – pas de nomination d’un data protection officer par exemple -, mais la mise en conformité est chronophage. « La première difficulté est d’avoir le personnel ressource », reconnaît Emilie Dumerain. Pourtant, les enjeux sont cruciaux, à en croire Laurent Courtecuisse, avocat chez NMCG Associés, qui conseille des start-up sur ces questions. « Les PME n’ont pas les moyens de gérer cette data, alors que c’est un élément essentiel de leur valeur ! Alors qu’elles ont bien compris la nécessité de protéger leur marque, elles doivent adopter le même réflexe avec leurs données. Car, en cas d’audit, pour être racheté ou pour lever des fonds, avoir respecté ces règles sera déterminant.» Le Syntec organise un tour de France pour accompagner les entreprises. Il n’est pas seul : des sociétés conseil sont déjà sur les rangs pour investir ce marché de plusieurs milliards d’euros.
©2017 Les Echos – LAURENCE ALBERT