Protection des données: cauchemar des patrons de PME

Genève25.04.2018 - 09:54Rédigé par Fabio Bonavita

SECURITE • Le nouveau règlement entrera en vigueur le 25 mai prochain. Mais la majorité des entreprises genevoises ne se sont pas mises en conformité. Les amendes encourues se chiffrent en millions de francs.

«Un vent de panique programmé», «une menace», «un casse-tête», le nouveau règlement général sur la protection des données (RGPD) de l’Union européenne fait trembler les patrons de PME. Cette obligation légale touchant au traitement et à l’exploitation des données personnelles entrera en vigueur le 25 mai prochain et concerne toutes les entreprises qui réalisent des affaires en Europe. Autant dire la majorité d’entre elles. Et il y a urgence.

Situation inquiétante

«Beaucoup de PME genevoises ne sont pas prêtes, assure Alexis Kiefer, conseiller à la protection des données d’entreprise chez Optyma. La plupart des directeurs ont entendu parler de ce règlement mais de loin, et ils ne savent pas quoi faire pour se mettre en conformité.» C’est le cas de Michel*, un quadragénaire à la tête d’une petite société informatique: «Je ne m’y suis intéressé que récemment. Pour être sincère, je n’ai encore rien fait. Pourtant, je suis concerné puisque j’ai des clients en Italie, en France et en Allemagne. Le problème est que je ne sais pas trop par où commencer pour me mettre en conformité.»

Combien sont-ils comme Michel à n’avoir pas encore fait le nécessaire? 75% selon divers experts. Peut-être plus. Plutôt inquiétant quand on sait qu’il faut souvent plusieurs mois pour être en règle: «Les entreprises doivent se demander quelles sont les données personnelles qu’elles possèdent, prévient Alexis Kiefer. Et ensuite, est-ce que ces données ont été collectées grâce à un article de loi qui leur permet de le faire ou est-ce qu’un consentement a été obtenu de la part des personnes concernées. Ce règlement remet le client au centre du débat, il est revalorisé.»

Là réside l’enjeu essentiel. Le principe fondateur de cette nouvelle réglementation européenne est simple. Il doit permettre de renforcer le droit à chacun de disposer de ses données. Cela concerne les adresses email ou postale, les numéros de téléphone, mais aussi les informations de localisation, les cookies ou encore les identifiants internet.

Dès le mois de mai, les entreprises devront notamment obtenir le consentement de leurs clients avant de récolter ces informations. Et supprimer ces dernières dans un délai de trois ans. En cas de non-respect, les amendes s’annoncent salées: jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros, la somme la plus élevée étant retenue. De quoi mettre en péril de nombreuses PME.

«Complètement démesuré»

Ce qui fait trembler Michel: «Je ne savais pas que je risquais aussi gros, c’est complètement démesuré! Je vais de ce pas me renseigner pour connaître les démarches à entreprendre. Et en parler autour de moi car je connais de nombreux patrons qui sont dans la même situation à Genève.»

* nom connu de la rédaction

Six étapes pour se mettre aux normes

Que faire pour éviter de se faire sanctionner à partir du 25 mai? Les patrons doivent tout d’abord s’adresser à un spécialiste, ils sont nombreux dans le canton de Genève. Ensuite, il est fortement conseillé de suivre ces six étapes:

• Désigner une personne en charge de la gouvernance des données personnelles de l’entreprise.

• Cartographier le traitement des données personnelles au moyen d’un registre.

• Etablir les priorités des actions à mener.

• Gérer les risques pour les droits et libertés des personnes concernées grâce à une analyse d’impact.

• Organiser les processus internes permettant de couvrir l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (faille de sécurité, modification des données, changement de prestataire, ...).

• Documenter la conformité prouvant la protection des données en continu.