Aujourd’hui, l’exploitation, la gestion et surtout la protection des données sont devenues un véritable enjeu légal.
Si bien que le Chief Legal Officer Survey, le sondage annuel qui fait loi auprès des Directeurs juridiques, prédit une expansion spectaculaire des services juridiques en entreprise en 2018 pour faire face à un contexte réglementaire en plein mouvement.
Deux points sont particulièrement prégnants : la cybersécurité et le contexte réglementaire toujours plus contraignant.
Deux exemples illustrent parfaitement cette nouvelle donne.
Le cas du piratage informatique d’Uber, la célèbre entreprise de VTC, qui, s’il n’est qu’un phénomène de plus dans une longue liste d’attaques, a été vécu comme un électrochoc. En 2016, les noms, les emails et les numéros de téléphone de 57 millions de personnes, clients et travailleurs, ont été dérobés. L’entreprise a payé 100.000$ de rançon pour que l’affaire ne soit pas ébruitée, sans assurance que les pirates aient effectivement détruit les données.
Ce qui a tout de même permis d’étouffer l’affaire pendant un an... Une politique de l’autruche qui, si elle permet de gagner du temps, n’est plus compatible avec la réalité de la gestion des données d’aujourd’hui : se défendre contre les cyberattaques n’est pas un luxe, mais une obligation de survie.
Le second exemple, plus réglementaire, est celui du RGPD, et ce simple acronyme fait à lui seul frémir juristes comme DSI.
Le RGPD, un défi lancé aux entreprises
Le RGPD est parti d’un constat : pour imposer le respect de la privauté des données, les Etats n’ont d’autre choix que d’imposer aux entreprises des normes élevées de protection, de divulgation et d’accès.
Ainsi l’Europe s’adapte, et en France, la CNIL (Commission nationale informatique et libertés), organisme d’Etat garant de la privauté informatique, se voit renforcée dans son rôle coercitif.
A ce titre, il a été donné des consignes précises aux entreprises : désigner un délégué à la protection des données, cartographier le traitement des données personnelles, prioriser les activités de protection, gérer les risques, organiser les processus internes…
Quoiqu’on en dise, le RGPD n’est pas une sinécure.
Dans un article Cas Pratique du Village de la Justice, ce dernier expliquait comment les directions juridiques étaient les premières concernées par des modifications qui concernent le traitement de la donnée au sens large (sécurité, recueillement, archivage...).
L’apparition et le renforcement de nouvelles obligations comme la notification des failles de sécurité, la création d’un registre des activités de traitement ou encore l’encadrement des transmissions de données placent une pression importante sur les équipes, qu’elles soient en charge de la numérisation ou de la mise en conformité juridique des dispositifs mis en place.
Pour faciliter la responsabilisation des sociétés, un logiciel d’accès libre a été mis à leur disposition, afin qu’elles réalisent une étude d’impact (PIA, Privacy Impact Assessment) concernant l’importance des données qu’elles possèdent et leur capacité de protection.
Capacité qui dépend des logiciels employés, de la sécurité des serveurs qui conservent les données, mais aussi de la fiabilité du personnel et des sous-traitants, ainsi que de l’accès légal des clients à leurs propres comptes, souvent sur les mêmes réseaux que les professionnels.
Un nombre considérable de sous-traitants à interpeller.
Des sociétés spécialisées dans la gestion des données numériques ont mesuré l’étendue du chantier qui se dresse pour les entreprises.
C’est le cas par exemple de la société DiliTrust, qui a consacré un article de blog à ce sujet.
En prenant les trois types d’utilisations de logiciels en entreprise (on-premise, hébergement, sous-traitant), la société dresse la liste des tâches qui attend le maître d’oeuvre du RGPD en entreprise. Le constant ferait presque peur : avec en moyenne 500 applications différentes utilisées en entreprise, DSI et Directeurs juridiques doivent s’attendre à renégocier plus de 200 contrats… d’ici mai 2018 !
Une tâche impossible à accomplir, d’autant plus si l’éditeur n’est pas européen. Les logiciels américains collectant les données des utilisateurs sont notamment couverts par une réalité juridique différente de la nôtre, notamment depuis l’implémentation des fameux « Data Processing Addendum », bien connus des chantres de la souveraineté numérique.
S’il y a fort à parier que des entreprises des géants tels que Microsoft ou Google auront su, on l’espère, anticiper et gérer le tournant, on ne pourra pas en dire autant des nombreuses entreprises étrangères qui, par méconnaissance ou manque d’anticipation, feraient courir un risque juridique énorme aux entreprises.
La solution ? Changer pour un prestataire déjà RGPD-compatible selon le PDG de la solution d’hébergement Ikoula ! Une action radicale, mais peut-être pas si folle quand on sait que l’amende en cas de non-respect du RGPD peut s’élever jusqu’à 4% du chiffre d’affaires mondial.
L’occasion de tourner son regard vers le vieux continent ? Dans ces temps de protectionnisme triomphant, tant vanté par l’administration Trump, une touche de chauvinisme européen ne serait en effet pas du luxe.
