Pour beaucoup de sociétés, l’arrivée de la GDPR ressemble fort à un ciel qui leur tombe sur la tête, à un chantier digne de Sisyphe. Pour d’autres, l’importance de l’effort à fournir mais aussi les incertitudes et le flou qu’elles estiment entacher la réglementation européenne et ce qu’elle implique les poussent… à ne rien faire. En se disant qu’elles ne risquent guère d’être victimes d’un problème. Et tant pis si cela arrive, on verra bien alors ce qu’il en est. Au risque de payer fort cher leur inaction.

Et si cet attentisme était doublement coupable? Pourquoi en effet ne pas saisir l’occasion pour transformer une contrainte en opportunité – tant commerciale que concurrentielle?

Certaines sociétés préfèrent s’abstenir. Les raisons varient: conviction qu’elles ne risquent guère d’être des victimes de piratage, texte du Règlement jugé trop flou, crainte de l’inconnu, incertitude sur les choses à entreprendre (le texte du règlement ne donne pas de détails sur la marche à suivre, se contentant de dire que les sociétés doivent prendre les “mesures adéquates” pour se conformer aux nouvelles dispositions). Ou encore doute sur l’utilité qu’il y a à faire quoi que ce soit. Parfois aussi par pure mauvaise foi ou par goût prononcé pour la prise de risques (“si le ciel nous tombe sur la tête, on verra bien…”).

Cet attentisme n’est pas recommandé, vous diront la quasi-totalité des observateurs.

Un cadre trop flou?

Le DGPR n’est-il pas assez précis? C’est une critique, ou en tout cas une remarque, que nous avons souvent entendue lorsque nous préparions ce sujet. Le Règlement général européen impose de respecter une série de règles et de critères mais sans donner d’indications sur la marche à suivre, voire même sur le périmètre exact de certaines de ces règles.

Résultat? “Nombre de sociétés sont dans l’expectative”, estime Kris Vansteenwegen (NRB). “Elles hésitent à se lancer parce qu’elles ne savent pas comment procéder.”

Attentisme? Une mauvaise idée

On ne peut le nier: se conformer aux dispositions de la GDPR implique pas mal de mesures à prendre, de procédures (nouvelles ou remaniées) à mettre en oeuvre, de temps à consacrer, de ressources humaines et financières à mobiliser.

Mais est-ce une raison pour reculer devant l’obstacle? La réponse est négative.

Non seulement parce que les risques encourus sont nombreux et potentiellement invalidant: effets d’un piratage, impact sur l’image et la rentabilité en cas de problème avec les données à caractère personnel, amendes importantes en cas de responsabilité établie…

Mais aussi, soulignent de nombreux observateurs, parce qu’en se pliant à la GDPR, les entreprises peuvent en retirer des avantages, en ce compris pour la stabilité de leurs processus et de leurs activités et pour l’avantage concurrentiel ou commercial qu’elles peuvent en retirer en utilisant, pour ce faire, les bons arguments vis-à-vis de leurs clients ou partenaires.

Lors d’une session d’information organisée en novembre 2016 par Insight Belgium, l’un des intervenants, Ilias Chantozs, directeur Global Government Affairs & Cybersecurity Policy chez Symantec, estimait pour sa part que “le concept de vie privée, de confidentialité des données est aussi une opportunité commerciale qui peut procurer un avantage concurrentiel. On le voit de plus en plus comme une possibilité d’attirer davantage de clients dans la mesure où les prestataires sont ainsi en mesure de garantir une gestion respectueuse de la confidentialité des données de leurs clients ou partenaires.”

Pour Frédéric Gelissen (ProcSima), “la GDPR une vraie opportunité pour nos PME et TPE de mieux se protéger de manière générale, de moins négliger leur information et leur ICT, et de mettre en place formellement un minimum de méthode de gestion de leur information. ”

Preuve de bonne volonté

“Beaucoup de sociétés ne seront sans doute pas prêtes à la date-butoir du 25 mai 2018 mais le plus important est d’avoir, à cette date, réalisé une analyse des lacunes et défini une feuille de route vers la conformité légale. En soi, c’est déjà une preuve de bonne volonté”, souligne Laurie-Anne Bourdain, consultante spécialisée en cyber-sécurité chez EY (Ernst & Young). “Avoir défini un plan d’action démontre qu’on a au moins compris le problème. Cela permet aussi de documenter l’évolution de la société. Par contre, s’il y a un contrôle et que la société n’a rien fait, l’APD (autorité de protection des données) nationale se montrera plus stricte.

Laurie-Anne Bourdain: “Les associations de consommateurs se montreront sans doute plus agressives que les APD lorsqu’il s’agira de pointer du doigt les sociétés qui ne se sont pas en règle.”

Un risk assessment doit être fait. Il faut les quantifier et prévoir les mesures qui permettront de réduire les risques les plus importants. Pour les risques ayant moins d’impact sur les personnes [concernées par le traitement de leurs données personnelles], il sera sans doute possible de justifier qu’on en a fait moins.”

Il y a, à ses yeux, une autre raison de procéder au minimum à cette évaluation de risques et à la définition d’un plan d’action.

A savoir: montrer aux yeux du public que la société en question attache une importance, une valeur à la protection des données personnelles de ses clients, partenaires, employés… Question d’image et de réputation. Histoire aussi de ne pas se faire pointer du doigts par les clients ou, par exemple, des associations de consommateurs qui “dénonceraient” ces sociétés amorphes à l’APD nationale.

“La définition d’un plan d’action permet en outre de définir les procédures à mettre en oeuvre pour répondre efficacement et rapidement à toute demande de modification, rectification ou élimination de données personnelles de ses systèmes – ce que le nouveau règlement prévoir pour tout individu…”

Transformer un défi en opportunité

La GDPR, c’est l’incitant, l’argument idéal pour passer à l’action – ne plus remettre à plus tard, aux calendes grecques bien souvent, ce qu’on considérait comme secondaire (mais qui ne l’est pas, en fait).

Frédéric Gelissen: “Lorsque vous achetez une maison, vous y placez un système d’alarme. Idem pour votre voiture. Elles ont toutes des systèmes de sécurité (alarme, coupe-circuit, localisation, airbags, système de prévention de crash…). Alors pourquoi négliger la sécurité de votre PME ?”

“Trop peu de PME s’intéressent aux thématiques ayant trait à la gestion tout court et à la gestion des données en particulier. En ne participant pas à des évènements où l’on parle de management, elles se privent d’une ouverture sur ce qui se fait ailleurs.

Je conseille donc d’aborder ce genre de sujet en premier lieu avec son avocat et/ou son juriste, ensuite avec d’autres responsables de PME dans le même cas et de participer à des conférences et ateliers”, déclare le consultant Frédéric Gelissen.

“Il faut saisir cette opportunité pour faire de la protection des données “by design”; autrement dit, repenser les procédés, les exigences de fabrication et la fourniture des services.

Et ne plus se dire que la sécurité c’est pour les grosse boîtes. “Lorsque vous achetez une maison, vous y placez un système d’alarme. C’est la même chose pour votre voiture. Elles ont toutes des systèmes de sécurité (alarme, coupe-circuit, localisation, airbags, système de prévention de crash…). Alors pourquoi négliger la sécurité de votre PME ?”

Privacy by Design

Le principe du “privacy by design” que préconise la GDPR (voir notre article Terminologie) implique que l’on réfléchisse et garantisse la confidentialité des données privées ou sensibles dès le moment où l’on crée un produit ou un service, où l’on s’équipe d’une solution. “Le GDPR pousse les sociétés à penser aux données privées dès le départ. Cela a pour avantage d’alléger le poids de la gestion, ce qui, à son tour, peut déboucher sur un regain de qualité”, estime Frédéric Gelissen.

Resserrer de plusieurs tours de vis la protection des données personnelles est un changement fondamental d’optique et d’approche de la gestion des accès et des modalités d’exploitation des données à caractère personnel. Mais aussi une opportunité pour se repositionner et pour un argument commercial nouveau.

“Il ne faudra plus procéder par rustines, une pratique qui induit un risque de passer à côté de problèmes de sécurité. Sans compter que cela coûte plus cher en termes de déconstruction et de reconstruction.”

Au-delà du concept de “privacy by design”, une autre règle de bonne gouvernance recommandée est celle d’une récurrence des analyses d’impact. Si possible une fois par an.

L’objectif est de surveiller l’évolution des risques et/ou de la nature des données, dans une perspective d’amélioration continue. Cette dernière implique, en filigrane, l’adoption de processus de gestion du changement, afin de veiller que les projets se passent bien et que tous ceux qui sont concernés “jouent le jeu”.

Cela peut représenter une charge de contraintes, une somme d’efforts, non négligeables, en particulier pour les petites structures.

Frédéric Gelissen tempère toutefois: “une PME ne devra pas faire face à la même charge de change management qu’une grande entreprise mais elle doit malgré tout se plier à une analyse d’impact et au principe d’amélioration continue mais cela aura un impact positif pour ses activités et pour ses relations commerciales.”

Cela déclenchera un regain de confiance dans ses services de la part de ses clients. En d’autres termes, “le GDPR est l’occasion de se retrousser les manches et de faire ce qu’on avait jusqu’ici reporté à plus tard.”

Philippe Laurent (avocat): “Les contraintes sont lourdes, notamment pour les petits sous-traitants de services IT locaux mais c’est aussi, pour eux, une carte à jouer. En rédigeant et présentant à leurs clients et prospects un document prouvant clairement leur conformité, ils utiliseront un argument déterminant aux yeux de leurs clients qui sont souvent frustrés par la nécessité d’auditer le prestataire qu’il a choisi.”