Pourquoi la mise en conformité RGPD est aussi indispensable aux entreprises TPE PME ?

 

Depuis le 25 mai 2018, toutes les entreprises ont l’obligation de se mettre en conformité avec le Règlement Général sur la Protection des Données (RGPD).

Même si l’on peut penser que l’origine de ce règlement vient de la volonté des gouvernements de l’union européenne de maitriser l’usage des données par les GAFA (Google, Apple, Facebook, Amazon), pour nous, entrepreneurs, les deux sujets de fond sont :

-          l’usage des données personnelles à titre commercial,

-          une réalité économique de protection des entreprises faces aux cyberattaques.

Ainsi, toutes les entreprises sont réellement concernées par le sujet, de l’entreprise unipersonnelle qui démarche avec une base de prospects et de clients, l’entreprise TPE qui détient les données personnelles de ses salariés par le biais minimum de leurs bulletins de salaire, à toutes les tailles d’entreprises qui utilisent l’informatique pour leur fonctionnement.

Les risques courants pour les entreprises en termes de protection des données personnelles :

La plupart des petites entreprises, commerces, artisans, sociétés de services, consultants, petites industries, détiennent à la fois les données de leurs éventuels salariés, les données de leurs clients, les données de leurs prospects, données de prospects recueillis au minimum par un lien direct, au plus par l’achat de fichiers, que l’on espère « OPTIN » (c’est-à-dire obtenues avec leur consentement…mais avez-vous vérifié ?).

Avant même d’imaginer l’attaque de votre PC ou votre serveur, qui n’a pas échangé au travers de ses emails sur ces données en pièces jointes ? Qui n’a jamais vu ses collègues ou relations ou soi-même subir un détournement de sa boite email …et donc des données qui s’y trouvent ? Qui n’a pas entendu parler d’un salarié indélicat qui serait parti avec des données confidentielles ?
La fuite de ces informations peut porter un préjudice aux personnes concernées et 
vous en êtes soudain responsable.

Ce préjudice peut être mineur ou important et toucher peu de monde ou une liste importante de données personnelles. Dès lors, le risque que l’une des personnes porte plainte n’est pas déterminé mais sa gravité peut vous coûter, tant en défense juridique, qu’en mise en conformité, sans oublier la sanction RGPD elle-même (jusqu’à 4% du chiffre d’affaires de l’entreprise).

 

Les risques courants pour les entreprises en termes de protection des données opérationnelles :

Au-delà des données personnelles, chaque entreprise de la plus petite à la plus grande, TPE, PME, ETI, grand groupe, utilise l’informatique pour son fonctionnement. Les données opérationnelles de l’entreprise vont bien au-delà des données personnelles. Imaginez, par une action frauduleuse interne ou externe, perdre vos devis en cours, les factures émises pas encore réglées, les commandes fournisseurs en attente, les coordonnées de vos interlocuteurs courants, les photos de vos réalisations passées, vos derniers travaux sur informatique, plans, documents, des heures de travail à reconstruire, un coût immense de travail perdu et de perte d’exploitation.

 

Et l’assurance de ces risques ?

Votre assureur vous couvrira-t-il si vous n’avez pas formellement mis en place les protections induites par la démarche de conformité au règlement général sur la protection des données ?

Nul doute que leurs restrictions vont évoluer vis-à-vis des exigences du RGDP d’autant que les assureurs sont les premiers concernés par la protection des données personnelles que couvre le RGPD.

 

La protection des entreprises vis-à-vis des attaques internes et externes

Même si les plus grandes entreprises déploient des ressources importantes pour la protection de leurs systèmes d’information, elles n’ont pas forcément mis en place une politique ou charte de l’usage de l’informatique dans leurs entreprises, ni formé leur personnel à la cyber sécurité, ni fait l’analyse de leur processus pour assurer le compartimentage optimal des données opérationnelles ou personnelles. Cependant leurs protections existent et la gestion des droits d’accès physiques et informatiques est instaurée pour limiter le risque de perte ou de détournement total.

Si l’on considère les entreprises TPE ou PME, le sujet est bien moins abordé. Les ressources étant moins importantes, les fonctions de chacun moins segmentées et la polyvalence mise en avant comme facteur de performance de l’entreprise, chacun a accès à nombre d’informations cruciales pour le fonctionnement de l’entreprise. Par ailleurs, les TPE et PME restent les moins équipées en protection de leurs outils informatiques, PC, ordinateurs portables, tablettes et smartphone, box internet, wifi sont autant de failles plus ou moins ouvertes aux attaques extérieures.

De la même manière, les données « papier » sont souvent aussi exposées à l’accès aux personnels non concernés par leur contenus. La protection des données n’est pas qu’un sujet informatique.

Conséquence : Le risque que les données opérationnelles ou personnelles de l’entreprise soient altérées par des attaques extérieures de virus ou ransomwares, ou par un personnel indélicat en conflit, est beaucoup plus important dans les TPE et les PME, en terme de probabilité et en terme d’impact financier.
La perte d’exploitation peut y entrainer beaucoup plus facilement la cessation de paiement ou liquidation.

La démarche de conformité RGPD et ses bienfaits induits

 

La démarche de mise en conformité RGPD peut se décomposer en 6 phases listées ci-dessous :

Désigner un pilote, le « Délégué à la Protection des Données »

Pour commencer une action de fond dans l’entreprise, comme dans tout projet, il faut un pilote de projet. Les exigences du RGPD et les recommandations du conseil entreprise CODEAF se complètent dans les critères de choix de ce pilote pour les meilleurs résultats.

Il faut idéalement à ce pilote :

-          Qu’il sache gérer un projet, des taches, des échéances, des jalons, de la communication,

-          Qu’il ait une connaissance globale de l’entreprise,

-          Qu’il ait l’expertise ou la formation qui lui permette de maitriser le RGPD,

-          Qu’il soit ne soit pas décisionnaire dans l’un des processus concerné.

L’intérêt de ce pilote, outre sa connaissance de l’entreprise et sa maitrise de gestion de projet, réside dans son indépendance dans les processus concernés, ce qui vous garantira une vision extérieure de recul par rapport aux processus. Si vous pouvez désigner un personnel de l’entreprise, il lui suffira d’une formation au RGDP pour se mettre en marche.

Vous pouvez aussi choisir un pilote extérieur à l’entreprise ce qui vous apporte encore plus de recul et une expertise probablement plus confirmée. Le conseil entreprise CODEAF pratique cela pour certains de ses clients en amenant cette expertise et cette indépendance nécessaires.

Dans tous les cas, le pilote fait avancer le projet, vous expose ses conclusions, et vous restez seul, dirigeant, à décider des actions et leurs priorités.

Cartographier les traitements des données par processus

L’intérêt de cette analyse permet de repenser ses processus au regard de l’utilisation des données, des droits d’accès à ces données, de leur utilité de leur durée de conservation. Limitant ainsi les risques, cette action révise les règles de stockage et de conservation des données, et réduit ses infrastructures de stockage tant informatique que papier.

Définir les actions correctives

Cette cartographie décèle les actions à mettre en place. Le fameux "pilote", chef de projet, pourra assumer le suivi de ces actions et vous décharger de ce projet supplémentaire.

Analyser les risques et prioriser

L’analyse de risque requise pour le traitement des données présente l’utilité de définir les priorités et de résoudre rapidement les failles les plus importantes et les moins coûteuses, puis de régler les autres sujets dans le temps et au fil de l’organisation.

Améliorer l’organisation et Établir des procédures internes

Une fois l’analyse réalisée et le plan d’action décidé, l’application de votre conformité RGDP peut se mettre en marche et ainsi améliorer l’organisation et sécuriser les données tant personnelles qu’opérationnelles, assurant la pérennité de l’entreprise. La rédaction de procédures internes concourt à garantir la continuité de la conformité RGPD.

Documenter et réviser

L’exigence de documenter ces étapes et de réaliser le plan d’action dans l’ordre des priorités dictées par l’analyse de risque pour l’entreprise, répond à l’exigence de la mise en conformité RGDP.

Cette documentation de démarche RGPD conserve la mémoire de ces analyses de risques et se trouve être la future base de réflexion lorsque des changements dans l’entreprise nécessitent de penser à des évolutions : L’entreprise évolue constamment, votre analyse doit suivre.

 

 

En synthèse

La démarche de mise en conformité avec le règlement général sur la protection des données personnelles (RGPD) n’est pas qu’une contrainte supplémentaire appliquée aux entreprises et dont les TPE et PME en subiraient les coûts sans avantages.

Les entreprises TPE et PME sont les plus concernées de par leur structure, leurs moyens, et l’ampleur du risque d’atteinte à leurs données. La mise en conformité RGPD est donc une opportunité d’améliorer et de pérenniser son entreprise.

Et bien que le RGPD prévoie des sanctions financières pouvant aller jusqu’à 4% du chiffre d’affaires mondial de la société, le coût de cette sanction est bien plus important que celui de la mise en œuvre de la mise en conformité de votre entreprise vis-à-vis du RGPD.
Le conseil entreprise CODEAF pourra vous aider efficacement dans cette action d’amélioration de votre entreprise, TPE ou PME.