Un an après le GDPR : vraie tempête ou vent léger ?

Annoncée avec fracas (et craintes), l’arrivée du GDPR faisait parfois penser à la fin du monde « prévue » par les Mayas en 2012. Après une année, où en sont les données des PME ?

Le GDPR (ou RGPD en français), vous vous en souvenez, n’est-ce pas ? Un nouveau « Règlement général pour la protection des données » entré en vigueur le 25 mai 2018 dans toute l’Europe, dont l’objectif était (est) de renforcer et harmoniser la législation en matière de protection des données personnelles au sein de l’Union. Une révolution qui concerne… toutes les entreprises : des multinationales aux PME en passant par les institutions publiques. Autrement dit, toute structure qui collecte et traite des données personnelles (clients, fournisseurs, employés, etc.). Après un an… quel bilan ?

La prise de conscience

Cette première année est parfois décrite comme celle de la « sensibilisation » tant des entreprises que du public en général. Les scandales Facebook ou encore les amendes pharaoniques à Google et consorts ont évidemment contribué à alerter l’ensemble de la société… Revenons un an plus tôt : l’enjeu pour les PME était clair : se préparer au mieux pour le jour J. Force est de constater (notamment grâce à des enquêtes menées en France) que nombre d’entreprises n’ont réalisé que le « strict minimum » (pour celles qui ont agi). Un changement de « façade » compréhensible quand on voit la complexité et l’ampleur de la question…

Des fuites et un besoin d’infos

Une évaluation réalisée fin 2018 par la « nouvelle » autorité belge pour la protection des données a également permis de dresser quelques constats. En tête ? L’augmentation du nombre de fuites de data… signalées. En effet, si nous sommes passés de 13 brèches en 2017 à 317 en quelques mois de GDPR, c’est parce que la déclaration de ces incidents est devenue obligatoire. L’organe de contrôle indépendant a également enregistré un nombre croissant de demandes d’informations, de plaintes de citoyens ou encore de requêtes d’avis. Et les sanctions prévues par le texte européen ? Fin 2018, aucun dossier n’avait encore été transmis pour examen, mais les contrôles seraient eux bien opérationnels…

Ne pas voir venir… Agir !

Outre la crainte du bâton, pensez à la carotte. Le GDPR instaure — quel qu’en soit le rythme — un nouveau « paradigme » en matière de gestion des données et vous y échapperez difficilement. Alors, prenez les devants ! Vous ne soupçonnez peut-être pas les opportunités « business » qui peuvent découler d’un traitement « intelligent » de vos data. Créer de la valeur est un excellent moteur pour poursuivre la mise œuvre du GDPR… Une protection accrue face au cybercrime en est un autre. Dans tous les cas, comme nous l’écrivions « à l’époque », mieux vaut tard que jamais pour revoir votre stratégie en matière de gouvernance des données et de cybersécurité.

Prenez appui…

Reste la question fatidique : « Par où commencer ? » Si de nombreux outils et experts — tant juridiques qu’informatiques — ont vu le jour, vous disposez déjà des moyens d’action. Par exemple ? Le premier pas pourrait être un autodiagnostic : utile pour identifier vos process actuels, vos « failles » et vos besoins. Ne vous arrêtez pas en si bon chemin et préparez votre plan d’action. Vous avez besoin de conseils ? L’ADP propose un guide en 13 étapes pour « se préparer ».

Vous n’avez plus d’excuse pour ne pas saisir ce « vent nouveau » sur vos données !