Loi informatique et libertés : beaucoup d’intérêt et peu d’effets
Quinze ans de missions sur la loi informatique et libertés m’ont appris une chose : on évangélise beaucoup sur ces domaines (la loi date de 1978). Au-delà de cela, à part la directive « cookies » de 2011, peu d’effets ont été observés sur le terrain. L’envie était là mais lorsqu’il s’agissait de passer concrètement à la mise en œuvre et de demander des budgets ou la nomination d’un RSSI : « L’année prochaine ! » était la réponse standard dans les ETI.
Le marketing de la peur au service de la prise de conscience
Mais les choses ont changé. Depuis 1 an et demi, j’observe que les grandes entreprises mettent désormais la pression aux entreprises plus petites afin de leur demander, voire exiger qu’elles se mettent en conformité avec le nouveau règlement.
Même si le marketing de la peur, pratiqué par certains consultants, peut paraître exagéré (le chiffon de l’amende de 20 millions d’euros le 26 mai 2018 au matin ne concernera probablement que les grands opérateurs du type GAFA), il permet néanmoins de faire monter le sujet jusqu’aux comités de direction des entreprises et d’obtenir les financements nécessaires. On ne peut que s’en réjouir.
Pour regarder cette vidéo, vous devez consentir aux Cookies de notre partenaire Youtube Ces cookies permettent de partager ou réagir directement sur les réseaux sociaux auxquels vous êtes connectés ou d'intégrer du contenu initialement posté sur ces réseaux sociaux. Ils permettent aussi aux réseaux sociaux d'utiliser vos visites sur nos sites et applications à des fins de personnalisation et de ciblage publicitaire.
La mise en conformité n’est pas seulement une contrainte
Certes, la mise en conformité permet d’éviter les sanctions de la CNIL qui sera plus sévère qu’auparavant. Jusqu’ici, si vous étiez loin de Paris et d’une ligne de TGV, ou dans des secteurs d’activité rarement contrôlés, les sanctions étaient plutôt rares. Mais la situation va changer et les contrôles vont se renforcer et se multiplier. Ceci étant, le GDPR est un règlement fort différent des lois françaises habituelles. Il s’agit d’un règlement pragmatique où on ne demande pas aux entreprises d’être parfaites mais de s’améliorer tous les jours.
Le GDPR, combien ça coûte ?
D’une part, malgré une apparente complexité, les démarches à entreprendre sont simples : une cartographie des données décrivant où vos données sont stockées et comment elles transitent d’un système à un autre, comment elles sont stockées, archivées et surtout, comment vous pouvez les récupérer en cas de désastre ou d’attaque malveillante. Et tout cela doit être documenté, pour pouvoir se placer dans une démarche d’amélioration continue.
Quelques exemples chiffrés, basés sur mes missions
Prenons un acteur du e-commerce de taille moyenne opérant sur le territoire national et en Allemagne. S’il dispose déjà d’un plan de sécurité, d’un embryon de cartographie et s’il sait où vont ses données et que ses contrats de filiales sont solides, il ne lui en coûtera que 15 à 20 k euros pour mettre en place les procédures, la révision des contrats, les cartographies de données et le lancement de la mission d’audit avec étude d’impact, rendue obligatoire par la réglementation.
Tout dépend de la maturité de l’entreprise, et il faut noter que ce chiffre ne couvre pas les coûts de mise en conformité technique du SI. Pour cerner ces coûts, il faut passer par un premier audit qui permet de déterminer ses principales faiblesses.
La méthode de la CNIL intitulée « se préparer en 6 étapes » est un bon point de départ pour les entreprises qui désirent se mettre en conformité en toute simplicité.
Documenter la conformité
Si vous êtes plus petit que notre e-commerçant et que vous êtes une PME, un tout petit e-commerçant indépendant par exemple, une enveloppe de 3 à 5 k € environ (selon le besoin et la complexité) serait nécessaire. Un effort financier modeste, surtout si vous devez vous mettre en conformité afin de gagner un appel d’offres.
J’ai, en effet, rencontré récemment un exemple de ce type avec un opérateur de services en peer to peer en forte croissance, dont la stratégie SI est très avancée. Leur budget de mise en conformité se place plutôt autour de 20 k € mais précisons que leur chiffre d’affaires a déjà atteint les 10 millions d’euros. Cet acteur avait déjà largement préparé les documents et process adéquats.
Enfin, si vous désiriez mettre en œuvre la documentation et la cartographie vous-même, il vous faudrait embaucher un professionnel, interne ou externe, à mi-temps pendant 6 mois, ce qui revient (avec les charges) à peu près au même chiffre que celui cité précédemment. Ce montant pourra toutefois être dépassé s’il vous fallait également mettre à niveau vos mesures de protection des données personnelles.
En résumé, la complexité du GDPR doit être relativisée et son coût n’est pas prohibitif. Mieux que cela, il peut permettre aux acteurs économiques qui se sont laissés dépasser de mettre leur capital digital à niveau. Ceux qui sauront saisir cette opportunité pourront même envisager de bâtir un avantage concurrentiel sur la base de la confiance qu’ils auront établie avec leurs clients.
Pour aller plus loin
Au-delà de la contrainte, le GDPR protège nos économies numériques
Webinaire
RGPD : par où commencer pour être en conformité ?
Mardi 6 février à 12h30