GDPR : La deal line approche… Quel impact pour nos entreprises françaises ?

GDPR : Une aubaine pour les cabinets de conseil porteurs d’offre cyber ?

 

1) Qu’est-ce que la GDPR ?

GDPR : lock

Depuis décembre 2015, tout le monde en parle et pourtant, les entreprises (françaises entre autres) sont encore loin d’être conformes à la GDPR !

Avec pour objectif l’équilibre entre les enjeux de la vie privée et la maîtrise des données personnelles, l’Union Européenne a décidé d’unifier sa régulation en mettant en place la GDPR (General Data Protection Regulation), la Régulation Générale sur la Protection des données personnelles.

Selon l’étude Veritas sur la GDPR, 38% des entreprises françaises sont déjà conformes à la GDPR et seulement 37% des autres entreprises pensent qu’elles seront conformes lorsque la réglementation prendra effet le 25 mai 2018.

Contrairement aux autres pays étudiés, les pénalités ne sont pas la principale préoccupation concernant la non-conformité. La plus grande préoccupation pour les entreprises françaises est la dévaluation de la marque pouvant être causée par des articles négatifs, via les médias classiques ou via les réseaux sociaux.

Au niveau de l’étude Monde, près d’un cinquième (18%) des entreprises pensent que la non-conformité pourrait les contraindre à mettre la clé sous la porte et près de la moitié (47%) des entreprises craignent de ne pas pouvoir répondre aux exigences de la GDPR.

Enfin, 32% des répondants dans le monde ne pensent pas que leur entreprise dispose de la technologie adaptée pour répondre aux exigences de la GDPR.

 

2) Les entreprises concernées ?

Toute entreprise qui traite, stocke ou collecte des données de résidents européens ou des organisations au sein de l’UE. Autant dire que ça fait pas mal de monde…

La dead line donnée aux entreprises ? Le 25 Mai 2018, et cela concernera toutes les entreprises, mais pas seulement puisque les associations, les administrations et les syndicats d’entreprises sont aussi dans la ligne de mire du règlement européen !

 

3) Que dit exactement la GDPR ?

EU General Data Protection Regulation

La GDPR, adoptée en décembre 2015, est le nouveau texte de référence en termes de données personnelles des citoyens européens. Il a pour objectif d’harmoniser la politique autour des données personnelles entre les différents pays européens, et de faire face à l’internationalisation du marché autour des données personnelles. Il vise à « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises », et à clarifier les responsabilités propres à chaque entreprise, selon le blog cozycloud.

Lorsque l’on parle de données personnelles, on inclut les informations des employés, clients, partenaires, prospects, que celles-ci se trouvent sur des ordinateurs, des terminaux mobiles ou des serveurs, dans des échanges emails ou dans la consignation des logs et du traçage, même non identifié, des visiteurs du site Internet de l’entreprise. Entre le caractère omniprésent des données numériques et la notion d’identification directe et indirecte, aucune société ne pourra y échapper.

 

A) Pourquoi ?

 Qui n’utilise pas presque quotidiennement les réseaux sociaux (Facebook, Twitter, Instagram, Linkedin et j’en passe !) les plateformes administratives en ligne, les services bancaires par Internet etc ? Aujourd’hui, il n’existe presque pas un jour sans que nous ne partagions pas nos données personnelles sur la Toile. C’est pour que toutes ces données ne se retrouvent pas entre les mains de n’importe qui que le règlement a été adopté.

Cela ne peut être plus d’actualité qu’aujourd’hui, après la grande attaque Wanna Cry qui a lieu en Mai dernier (qui a touchée de grandes entreprises internationales, comme Renault, et qui a touchée près de 150 pays à travers le monde), et celle qui se déroule au moment même où j’écris cet article et qui s’avère être „sans précédent“ selon le Secrétaire d’Etat français au numérique, Mounir Mahjoubi. Au cours de ces attaques, les hackers peuvent récupérer des listes de coordonnées bancaires, des identifiants de comptes de services, et même des informations soumises au secret professionnel.

Selon le bilan 2016 de la CNIL, 7 703 plaintes lui ont été adressées de la part de citoyens français. Celles-ci ont principalement concerné l’e-réputation (diffusion de données personnelles sur Internet, 33% des cas) et les opérations de prospection marketing ou commerciales par courrier électronique (33% également). Les autres cas sont liés aux ressources humaines (vidéosurveillance notamment), au secteur de la banque et du crédit, ainsi qu’au secteur de la santé et du social. Dans ce dernier domaine, les plaintes ont porté sur la difficulté à accéder à son dossier médical ou sur la création de dossiers pharmaceutiques sans consentement, précise la Commission.

Grâce à sa définition englobante, la GDPR touche un très grand nombre d’entreprises et d’administrations publiques, de tout secteur. L’objectif est clair pour l’Union Européenne, protéger les citoyens européens du cyber crime.

 

B) Les conséquences pour les entreprises

GDPR : Cabinets de conseil

Concrètement, les entreprises ne voient pas la GDPR d’un très bon oeil, mais voient ça comme une contrainte, parfois impossible à mettre en place. En effet, elles doivent désormais répondre à de nombreuses obligations (source : blog cozycloud) :

  • Les entreprises doivent demander un consentement positif et explicite pour les données personnelles qu’elles collectent ;
  • Leurs clients et utilisateurs peuvent demander l’effacement de leurs données aux entreprises.
  • Leurs clients et utilisateurs peuvent demander à récupérer les données personnelles les concernant dans un format clair et réutilisable ;
  • Les systèmes mis en place pour traiter les données personnelles doivent intégrer des exigences de respect de la vie privée dès leur conception ;
  • Les entreprises doivent nommer un délégué à la protection des données lorsque leurs activités de base impliquent de collecter, stocker ou exploiter des données personnelles ;
  • Les entreprises qui ne se plieront pas aux exigences du GDPR pourront être sanctionnées à la hauteur de 4 % de leur chiffre d’affaires ou seront condamnées à payer une amende qui pourra s’élever jusqu’à 20 millions d’euros. C’est également l’entreprise qui devra indemniser toute personne lésée matériellement ou moralement par un traitement non-conforme de ses données, sans plafonnement.

L’objectif est clair : la GDPR a vocation à être appliquée par les entreprises et témoigne de la volonté des autorités européennes à garantir la protection des données personnelles de ses ressortissants.

La GDPR est perçue comme synonyme de contraintes trop fortement sanctionnées en cas de non-conformité à celle-ci, par la plupart des entreprises, cependant, cela n’est pas vrai pour tout le monde !

 

5) Cabinets de conseil : un vrai marché à conquérir !

Les entreprises concernées par la GDPR vont devoir nommer un „Data Protection Officer“. Dans 70 % des cas, les entreprises concernées comptent le nommer parmi leurs employés, selon le blog cybercloud. Cela veut quand même dire que 30 % des entreprises vont faire appel à des prestataires externes pour assurer cette mise en conformité. Un marché juteux s’ouvre alors aux cabinets de conseil qui proposent leurs services de cyber sécurité, aux différentes entreprises. Les entreprises sont obligées de se conformer à la GDPR, elles sont donc obligées d’embaucher des prestataires pour les aider !

En tant que recruteuse spécialisée en cybersécurité, je ne peux que constater les effets de l’adoption de la GDPR en terme de recrutement.

Presque tous les cabinets de conseil qui font appel à nous, nous missionnent sur des postes qui sont en partie nés avec ces nouvelles règlementations : la GDPR, la LPM (Loi de Programmation Militaire)… Qu’il s’agisse de juristes spécialisés en conformité réglementaire (GDPR, LPM…), des consultants spécialisés en gouvernance, en audit de sécurité, dans la mise en conformité GDPR, tous ces profils représentent désormais une source précieuse pour les entreprises clientes mais aussi et surtout pour les cabinets de conseil. La chasse aux candidats est lancée !

Les différentes règlementations étant relativement récentes, les profils ne courent pas forcément les rues, même si le marché de la cyber sécurité essaie de s’adapter. C’est d’ailleurs pourquoi de plus en plus d’entreprises font appel à nous, cabinets de recrutement spécialisés en cyber sécurité.

Ce règlement devient une véritable aubaine pour les cabinets de conseil spécialisés ou non, en cybersécurité. Le marché représente des millions d’euros : selon l’étude Veritas, les entreprises dépenseront en moyenne 1,3 millions d’euros pour assurer leur conformité à la GDPR d’ici 2018, et seulement 37% affirment être en conformité dès à présent.

On comprend bien pourquoi les sociétés de services n’ont pas attendu pour se lancer à la conquête de ce marché juteux !

 

Alice de Roux

Uncategorized