D’ici quelques mois, l’Union européenne va obliger toutes les entreprises à s’équiper de solutions de protection informatique. À partir du 25 mai 2018, son nouveau règlement général de la protection des données personnelles (general data protection regulation, ou GDPR) entrera en vigueur et s’imposera à toutes les sociétés, y compris de petite taille. À l’heure de la numérisation croissante de l’économie, ce texte supranational vise à renforcer et à harmoniser les contraintes en matière de protection des données personnelles afin d’éviter une manipulation malveillante des données des individus. Les sanctions prévues sont importantes : en cas d’infraction, des amendes administratives pourront grimper jusqu’à 20 millions d’euros, ou représenter 2 à 4 % du chiffre d’affaires ! Au-delà, la GDPR doit surtout être considérée comme une incitation à se doter de moyens et de systèmes adéquats pour protéger les données à caractère personnel face aux menaces actuelles. Et conduire les entreprises à rentrer dans le « cercle vertueux de la protection informatique », selon l’expression de Pascal Le Digol, responsable pour la France de l’éditeur de solution de sécurité Watchgard.
Car pour prétendre protéger des données, il faut d’abord sécuriser son système d’information ! Ce que prévoit l’article 25 de la réglementation. Il appartient donc à toutes les entreprises de se préparer et d’entamer, dès à présent, les travaux nécessaires à l’adaptation du projet GDPR : évaluer l’outillage de sécurité des systèmes d’information et les dispositifs de sécurité existants, puis identifier les écarts et les faiblesses pour mettre en place un cahier des charges et une feuille de route de mise en conformité. Car l’installation sera certifiée par des organismes habilités. En cas de vol de données, il faudra disposer d’outils d’analyse et obligatoirement déclarer l’incident à la CNIL dans un délai de 72 heures. Le texte prévoit également, dans certains cas, la nomination, au sein de l’entreprise, d’un délégué à la protection des données (data protection officer, ou DPO), capable de rendre des compte à l’autorité de contrôle.
