RGPD, nouveau bug de l’an 2000 ?

Après deux ans de bombardement médiatique, de conseils en pagaille, l’heure d’entrée en application du RGPD a sonné. Vous pensez être en retard ? Pas de stress, vous êtes peut-être déjà prêt.

Comme toujours avec ce genre d’échéance, les délires millénaristes ont pris le pas sur le bon sens. D’un côté, on trouve les faux prophètes qui annoncent des amendes colossales dès le 26 mai. De l’autre, les experts autoproclamés qui vous affirment, sans avoir étudié votre situation que vous n’êtes pas prêt. Résultat : une récente étude de NetApp, menée en France, en Allemagne, aux États-Unis et au Royaume-Uni, auprès de 1106 décideurs informatiques révèle ainsi que 35% des entreprises mondiales estiment que le RGPD pourrait menacer leur existence. 51% d’entre elles pensent par ailleurs que ce règlement pourrait porter atteinte à leur réputation. Enfin, 67% des entreprises mondiales craignent de ne pas pouvoir respecter l’échéance.

Dans ce type de situation, il convient souvent de garder la tête froide, l’histoire IT nous l’a déjà montré… Peut-être avez-vous vécu cette nuit du 31 décembre 1999 (ou plutôt ce petit matin du 1er janvier 2000) ? Souvenez-vous de cette petite pointe d’amertume qui vous a fait dire « Tout ça pour ça » !

La menace est-elle plus importante à compter du 25 mai ?

Sur le plan de la cybersécurité, la virulence et l’ampleur des attaques (notamment par le biais de ransomwares) de ces deux dernières années ont déjà mis les systèmes d’informatio à rude épreuve. Sur ce point, le 25 mai ne changera rien : il fallait se protéger contre les cyberattaques avant, il faudra toujours le faire après. Même à imaginer de nouveaux types de chantage à la donnée (versement d’une rançon pour éviter la diffusion publique de données volées), il est probable que les techniques d’attaque soient identiques à celles des ransomwares et donc que les parades soient les mêmes.

Sur le plan de la gestion de la donnée, en France le règlement général européen ne bouleverse pas radicalement les dispositions de la loi relative à informatique, aux fichiers et aux libertés. Certes, de nouvelles contraintes apparaissent pour les possesseurs de données personnelles, notamment concernant le droit d’accès de leurs clients à leurs données personnelles, mais beaucoup de bonnes pratiques étaient déjà présentes et devaient déjà être respectées par les entreprises.

RGPD un long fleuve tranquille, ou presque.

Mais alors si rien ne change, où se situe le problème ? Le stress créé par le RGPD est principalement lié au fait que chacun est désormais mis face à ses responsabilités, et surtout que des amendes pointent leur nez… Chaque entreprise doit être garante des dispositifs mis en place et doit être en mesure de justifier de toutes ses procédures et de ses actions en cas de perte de données. Cette nécessité de documentation et d’organisation est complexe et toutes les entreprises, notamment les plus modestes, n’ont pas les moyens humains et/ou financiers de se doter d’équipes dédiées.

Pas de panique là encore ! Car les partenaires technologiques (hébergeurs, prestataires cloud, éditeurs d’applications métiers, etc.) ont eux aussi leur part de travail à accomplir afin de sécuriser les données que les entreprises leur confient. Contacter les prestataires afin de s’assurer de la compatibilité de leurs solutions avec les dispositions du RGPD est par exemple un bon début. Pour aller plus loin (mieux vaut tard que jamais…) le guide pratique de sensibilisation au RGPD, réalisé par la CNIL et BPI France, peut aussi aider. Il est disponible ici :

Chez GDATA nous avons aussi posé les bases du RGPD dans un livre blanc disponible là :

Bonne lecture et bon RGPD bien sûr !