Adopté dès 2016 avec un délai de préparation de deux ans, le règlement général sur la protection des données (RGPD) est le nouveau texte de référence européen en matière de cybersécurité. Il rentre désormais en vigueur, avec les premiers contrôles exercés à compter du 25 mai - d'où un climat de nervosité très palpable depuis plusieurs mois : selon une enquête 2017 de l'AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel), seules 15 % des entreprises européennes pensent qu'elles seront en conformité le jour j.

La peur du bâton

Le RGPD concerne tous les organismes dès lors qu'ils traitent des données personnelles : noms, adresses, numéros de téléphone, adresses e-mail ou IP, etc. Il leur impose de mettre en place des outils techniques pour les protéger, sous peine de s'exposer à des sanctions sévères : 4 % du chiffre d'affaires, ou 20 M€ maximum.

« Il y aura une tolérance de la CNIL (commission nationale Informatique et Libertés, NDLR) si l'entreprise a entamé des démarches mais qu'elles n'ont pas encore abouti le 25 mai, précise Leïla Benaissa, experte RGPD pour le cabinet d'avocats Fidal. Mais il y a une obligation de documenter la conformité au texte, c'est à dire une obligation d'instituer des procédures internes pour démontrer le respect des règles relatives à la protection des données. La protection de la vie privée, par exemple, doit bénéficier de mesures proactives et non réactives (suite à un piratage, NDLR) dès la mise en place d'un projet. »

Un changement de culture

De l'avis des experts, les grands groupes - instruits des déboires d'Uber, Yahoo! et autres géants ayant subi un piratage de données massif ces dernières années -, ont compris qu'il faut aller vite sur le sujet du RGPD... mais ne savent pas toujours comment mettre en route le processus.

« Le RGPD change toute la culture de la protection des données en place depuis le premier texte de 1978, analyse l'avocat montpelliérain spécialisé IP/IT, Julien Le Clainche. D'un système basé sur la déclaration - où la CNIL était prescriptrice -, on passe à un système d'autorégulation - où toute la démarche reste à inventer... »

Et du côté des PME ? L'inquiétude est encore plus forte. Pour les accompagner, la CCI Hérault a lancé des petits déjeuners thématiques, depuis la fin 2017, où elle reçoit 60 entreprises par session en présence d'avocats et d'experts de la gestion de données. « Les entreprises de plus de 30 salariés sont les plus avancées, or 98 % de nos ressortissants sont des TPE de moins de 20 salariés. La grande majorité d'entre elles n'est pas préparée », observe la chambre.

De son côté, le Medef a mis en place un outil de diagnostic à destination de ses adhérents, pour vérifier la mise en conformité au RGPD, en cours de déploiement en Occitanie par chacune de ses entités départementales.

Retrouvez l'intégralité de notre dossier sur le RGPD et les nouveaux enjeux de la cybersécurité en Occitanie dans le numéro de La Tribune-Objectif actuellement disponible.