Des amendes pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial : la sanction prévue par le RGPD est suffisamment lourde pour encourager à se mettre en conformité. On peut tout de même supposer que l’administration contrôlera en priorité les grands groupes, et qu’elle n’a pas les moyens de vérifier l’application du règlement dans toutes les PME.
Pour autant, un accident est si vite arrivé. Les pouvoirs publics ne s’attendent pas à ce que tout le monde soit conforme le 25 mai au matin. En revanche, en cas de contrôle, mieux vaut faire la preuve de sa bonne volonté en ayant commencé à engager une démarche, par exemple en nommant dès à présent le délégué à la protection des données (DPO) prévu par le règlement.
Beaucoup, à commencer par la CNIL, prédisent que les usagers ou les consommateurs vont se saisir du sujet et pourraient interroger les entreprises sur ce qu’elles font de leurs données personnelles. Faute de réponse, ils risquent de saisir immédiatement la CNIL. Le récent scandale qui a touché Facebook n’arrange rien.
Premières entreprises visées, celles qui pratiquent le e-commerce ou le e-marketing doivent revoir leurs formulaires de prise de contact ou de prospection, en y ajoutant des mentions à cocher telles que “J’autorise l’entreprise à enregistrer mes données personnelles”. Aux clients qui reçoivent déjà votre newsletter ou tout autre objet de marketing, il faut redemander leur consentement. Autre mesure : mettre en avant les formulaires de désinscription.
Outre la sanction financière, toute entreprise épinglée par la CNIL risque une perte de confiance de ses clients, de ses prospects, voire de ses collaborateurs. Selon un récent sondage Opinion Way, 8 Français sur 10 seraient prêts à boycotter une entreprise qui ne respecterait pas le RGPD et porterait atteinte à leur vie privée !
En termes d’image comme souvent, la meilleure défense n’est-elle pas l’attaque ? Autant communiquer dès aujourd’hui sur les mesures que vous avez prises pour respecter le RGPD, même si vous ne remplissez pas encore toutes les conditions. Il est important de marquer sa bonne volonté et son respect des données personnelles en général, et de ce règlement en particulier.
Sans même avoir été sermonné par la CNIL, il peut s’avérer embarrassant lorsqu’on est sous-traitant de signer dans un contrat des clauses sur les données personnelles, si l’on n’a pas avancé sur le sujet. En clair, si vous ne vous êtes pas mis en conformité, certaines affaires peuvent vous échapper. Le mieux semble être de jouer la carte de la franchise et d’examiner avec le client ou le prospect, quelle démarche minimum vous pouvez engager.
La cybercriminalité se développe d’année en année, au point que, selon le 3ème baromètre du Cesin (Club des experts de la sécurité de l’information et du numérique) de janvier 2018 réalisé par Opinion Way, 92 % des entreprises interrogées affirment avoir subi une cyberattaque une ou deux fois. De son côté, l’étude Allianz Trade-DFCG 2018 démontre que 8 entreprises sur 10 ont été victimes d’au moins une tentative de fraude.
Le RGPD pourrait bien inspirer de nouvelles pratiques aux adeptes du doxing, ces internautes malveillants qui révèlent sur Internet des informations sur l’identité et la vie privée de personnes, dans le seul but de leur nuire. Certains pourraient essayer de s’emparer des données personnelles que vous détenez et vous réclamer une rançon, sous peine de les rendre publiques – et de vous exposer aux foudres du RGPD…
Le RGPD a le mérite de pointer des risques graves pour l’entreprise. Il peut être l’occasion d’auditer son système d’information et d’adopter des solutions pour mieux le protéger : procédures sécurisées, système de gestion des mots de passe, sensibilisation et formation du personnel aux risques de fraude, diffusion de bonnes pratiques, etc. Non seulement, vous protégerez les données personnelles de vos clients et prospects, mais vous vous protégerez vous-même contre les risques de fraude.
Par ailleurs, avec le développement de l’intelligence artificielle, les données deviennent la principale richesse de l’entreprise. En incitant les entreprises à mieux les protéger, le RGPD favorise indirectement la préservation de leur capital !