RGPD : gare aux arnaqueurs
Les petites entreprises sont encore à la peine quant à leur mise en conformité au RGPD. Une faille qu'exploitent certaines personnes mal intentionnées. En parallèle, des experts auto-proclamés s'engouffrent sur le créneau sans pour autant disposer des compétences adéquates.
Je m'abonneL'échéance du 25 mai 2018, date d'entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD), approche à grands pas. Et pas sûr que les entreprises soient prêtes ! Plus d'une entreprise française sur cinq ne sera pas en conformité, selon une étude de Proofpoint en date de décembre 2017. "Une proportion qui me semble largement sous-estimée, signale Xavier Leclerc, CEO de DPMS et président de l'Union des data protection officers (UDPO). D'un autre côté, on n'est jamais totalement en conformité, mais on peut tendre vers. Il faut par ailleurs arrêter d'être alarmiste : le RGPD repose sur les mêmes principes que la loi Informatique et libertés, qui date de... 40 ans !"
De fait, les amendes exorbitantes sont les seules réelles nouveautés du texte. Ce ne sont certes pas de simples menaces : les premières sanctions ne tarderont pas à tomber après la date butoir. "Que les PME se rassurent, dans un premier temps, les "Cnil européennes" chercheront à faire des exemples en ciblant de grandes entreprises ou des secteurs à risques. Mais, les professionnels de la protection des données doivent présenter le RGPD comme une opportunité, car privacy is good for business !" poursuit l'expert.
Alerte aux arnaques
La menace des sanctions est en revanche brandie par les escrocs qui espèrent ainsi pousser les entreprises dans leurs filets, selon la Cnil. En effet, sévissent en ce moment de prétendus experts qui se présentent comme labellisés, mandatés ou recommandés par la Cnil, voire usurpent purement et simplement son identité. Les PME, les artisans et les commerçants sont particulièrement ciblés. L'objectif est de leur faire appeler un numéro de téléphone surtaxé, de leur faire signer un engagement frauduleux pour une mise en conformité, ou de collecter des informations pour préparer une escroquerie ou une attaque informatique. En cas de doute, ne pas hésiter à contacter la Cnil au 01 53 73 22 22.
Des professionnels pas toujours professionnels
"Au-delà des arnaques manifestes face au marché colossal généré par le RGPD, les experts poussent comme des champignons par effet d'opportunisme, constate Xavier Leclerc. SSII, consultants et même avocats s'improvisent spécialistes du sujet sans compétences, ni formation spécifiques." Le risque pour les PME est d'investir dans des prestations qui ne leur assureraient pas pour autant une véritable conformité.
D'ailleurs, la Cnil prévient : la mise en conformité au RGPD nécessite plus qu'un simple envoi d'une documentation, elle suppose un vrai accompagnement, par une personne qualifiée pour déterminer les actions à mettre en place et assurer leur suivi dans le temps.
Pour identifier le bon grain de l'ivraie, il est donc nécessaire de se renseigner. Le bouche-à-oreille reste, comme souvent, une valeur sûre. "Une visite sur le site du prestataire peut donner une idée de son professionnalisme, indique Xavier Leclerc. S'il ne dispose pas de mentions légales ou d'un bandeau d'information pour les cookies, fuyez : il ne respecte pas le B.A.-BA de la législation ! Si l'entreprise est positionnée sur la protection des données de longue date, c'est également bon signe."
Enfin, des certifications DPO, dont celle de Bureau Véritas en partenariat avec l'UDPO, se développent permettant d'attester d'un certain degré de maîtrise.