Comment ne pas perdre de CA à cause de votre non-conformité au RGPD ?
Baptiste Barrère
Responsable commercial / marketing & partenariats (transition énergétique / décarbonation / innovation & RSE)
Après 2 années laissées pour sa mise en oeuvre, votre entreprise a l’obligation d’être maintenant en conformité avec le Règlement Européen Général de Protection des Données (RGPD).
Suite à la date annoncée comme « butoir » du 25 mai 2018 (mise en application du règlement) et l’émoi alors créé par le sujet, la relative tolérance annoncée par la CNIL vis-à-vis de l’application des sanctions et les congés d’été ont doucement replongé les sociétés dans leur torpeur…
Malgré le buzz médiatique de l’époque et une première prise de conscience, de nombreuses sociétés ont ainsi finalement décalé le lancement de leur projet de mise en conformité pour se replonger dans leurs activités du quotidien en adoptant une position d’attente vis-à-vis des futurs possibles impacts négatifs …
Avant une nouvelle phase de sensibilisation qui va être organisée par les instances et avec l’apparition de nouvelles sanctions de la CNIL relatives à la protection des données personnelles, je vous propose de refaire un point sur les véritables risques encourus par votre entreprise en cas de non-conformité et de vous apporter un éclairage peut être différent du sujet.
1- Quels sont les véritables dangers et impact d’une non-conformité RGPD ?
Outre les risques des contrôles CNIL qui vont être renforcés dans les prochaines années – en particulier pour les entreprises manipulant des données personnelles dans leur cœur d’activité –, les principaux enjeux d’une mise en conformité sont de 3 ordres :
Impacts « Business » (pertes de marché)
De plus en plus d’appels d’offre contiennent désormais des exigences relatives à la protection des données personnelles.
Une non-conformité fera donc courir le risque à votre entreprise de ne pas être en mesure d’y répondre efficacement et ainsi perdre les clients associés
Impacts « Image et réputation » (dénonciations/plaintes auprès de la CNIL)
Le RGPD réaffirme les droits des personnes (accès, rectification des données, limitation ou opposition au traitement…) établis par la loi « Informatique et Libertés ». L’actualité et les scandales récents liés à l’utilisation des données personnelles (Cambridge Analytica, Google+, etc.) amorcent une prise de conscience de la population : de plus en plus de demandes d’exercice de ces droits sont à prévoir que ce soit côté clients particuliers pour le BtoC ou côté salariés en interne pour l’ensemble des entreprises.
Celles qui n’ont pas réalisé l’inventaire de leurs traitements de données personnelles et n’ont pas mis en place des procédures de réponses efficaces s’exposent à des dénonciations auprès de la CNIL, et à la dégradation d’image qui en découlerait
Impacts « Sécurité »
La démarche de mise en conformité implique un premier audit des mesures de protection en place.
Elle permet donc d’anticiper les risques de violation de données personnelles, de sensibiliser les acteurs, et ainsi limiter les risques d’usurpation d’identité, d’hameçonnage, ou toute autre forme d’ingénierie sociale.
2- Que faire en cas de contrôle CNIL ?
Le premier élément que l’autorité de contrôle va vérifier est le registre des traitements de votre entreprise.
Il s’agit de la brique principale de toute démarche de mise en conformité. Il permet de recenser l’ensemble des traitements de données personnelles réalisés par votre entreprise, et de documenter un certain nombre d’informations associées, telles que la finalité (l’objectif du traitement), le type de données traitées, leur durée de conservation, les sous-traitants éventuels, etc.
La CNIL va également passer en revue les moyens mis en places pour informer les personnes dont vous traitez les données, les procédures de réponse à l’exercice des droits des personnes et aux violations de données, les chartes internes et politiques de sécurité informatique le cas échéant.
Elle pourra enfin auditer votre site web et les logiciels utilisés pour traiter les données personnelles, en particulier la gestion des droits d’accès, la sécurisation des serveurs, la protection de votre réseau, la gestion des sauvegardes, etc.
Tous ces éléments doivent être pilotés en interne par un Délégué à la Protection des Données (DPO) ou a minima par un chef de projet de mise en conformité.
3- Comment pouvoir répondre à des appels d’offres qui exigent une mise en conformité RGPD ?
De la même manière, il est nécessaire d’avoir entamé une démarche de mise en conformité afin de se poser les bonnes questions en amont.
Cela vous permettra de collecter, rédiger et centraliser toute la documentation nécessaire pour répondre rapidement aux exigences établies dans les appels d’offre.
Ceux-ci se présentent la plupart du temps sous forme d’un questionnaire reprenant les grands principes du RGPD, mais vous pouvez également rédiger de manière proactive un document synthétique récapitulant l’ensemble des mesures mises en œuvre par votre entreprise pour y répondre.
4- Comment gérer une plainte CNIL de la part de vos clients, salariés ou candidats ?
Idéalement, une mise en conformité sérieuse vous permettra d’éviter de telles extrémités.
En effet, après avoir établis les procédures nécessaires, vous serez à même de répondre aux sollicitations dans les délais impartis (à savoir 1 mois), sans que cela n’aboutisse à une plainte.
Toutefois, dans le cas contraire, il vous faudra à tout prix être en mesure de prouver votre « bonne foi » vis-à-vis de la CNIL et entamer au plus vite les démarches adéquates.
5- Quels sont les abus et les arnaques concernant le RGPD ?
De plus en plus de sociétés de conseil s’engouffrent dans le business du RGPD sans disposer de l’expertise et des compétences nécessaires pour couvrir un sujet aussi complet et transverse.
Certaines se contentent de facturer la mise à disposition de ‘documentation type’ déjà librement accessible sur le site de la CNIL, sans aucun véritable accompagnement ni méthodologie.
Or, bien que pour la plupart des entreprises, la mise en conformité nécessite simplement une approche pragmatique, centrée autour de traitements de données classiques tels que le Marketing, la gestion clients, et les traitements RH, cette approche se doit d’être structurée.
Elle nécessite un état des lieux précis de vos traitements, afin de déterminer les écarts de conformité et d’en déduire un plan d’actions.
Vous faites sans doute partie de la majorité des décideurs ayant identifié les risques liés au RGPD, mais faute de temps et de coordination interne, vous avez finalement décidé de véritablement traiter le sujet en début 2019.
Conclusion
Ne cédez au « marketing de la peur », auquel vous avez pu être confrontés ces derniers mois, et concentrez vous uniquement sur les stricts moyens nécessaires à votre conformité pour éviter de perdre des marchés en 2019.