Le nouveau Règlement Général sur la Protection des Données (RGPD) personnelles est entré en vigueur depuis le 25 mai 2018. Quelles que soient leurs nationalités, les structures (entreprises, sociétés, organisations, associations, etc.) qui manipulent des données personnelles appartenant à des ressortissants européens doivent se mettre en conformité avec la loi. Quels sont les enjeux de ce nouveau cadre réglementaire ? Quels sont les nouveaux risques digitaux engendrés ? Comment se protéger en tant qu’entrepreneur ?
Qu’est ce que le RGPD ?
En France, il s’agit avant tout d’un renforcement de la loi Informatique et Libertés qui date de 1978. Ce nouveau règlement vise à instaurer un cadre européen unique relatif à la protection des données personnelles. Il a été élaboré par des européens pour les européens et s’adresse à toutes les structures (même étrangères à l’UE) qui utilisent des données de citoyens de l’Union Européenne. Il s’agit d’un cadre réglementaire fort qui élargi la notion de données à caractère personnel. Ce n’est plus seulement une information qui se rapporte directement à une personne, telle que son nom, son prénom, son adresse, etc. mais également toute donnée qui la caractérise ou qui permet de l’identifier. On entend par là, ses habitudes de consommation, ses trajets ou voyages, ses hobbies, etc. Ce nouveau règlement introduit et renforce la protection autour de la notion de données sensibles. Il s’agit de toute information qui, si elle est divulguée, pourrait nuire à la personne (état de santé, appartenance religieuse, politique, ethnique, orientation sexuelle, etc.).
Comment se mettre en conformité avec le RGPD ?
Avant de faire une quelconque modification, il faut d’abord avoir une idée concrète du niveau de sensibilité des fichiers clients que l’on possède. Les actions à mener dans la structure vont, en effet, varier en fonction de la sensibilité des données. Il est donc très important de les cartographier avec précision. Par ailleurs, les structures ont l’obligation de mettre en place tous les moyens nécessaires pour assurer la sécurité des données personnelles qu’elles possèdent. Il s’agit non seulement d’équipements matériels mais également de processus de détection et de traitement des fuites. En effet, n’importe quel système, quel que soit son niveau de sophistication, peut être faillible. Il existe donc toujours le risque, pour les entrepreneurs, que toutes ou parties des données soient mises sur la place publique. Les préjudices peuvent alors être énormes. Tant d’un point de vue financier qu’en termes d’image ou de crédibilité client.
Quels sont les risques d’une fuite informatique ?
Avec le nouveau règlement sur les données personnelles, les structures qui feraient face à une perte ou un vol (avéré ou simple suspicion) de données sont dans l’obligation d’en informer l’autorité de régulation (La CNIL) dans les 72H, qui va diligenter une enquête. Si les moyens de protection sont jugés insuffisants, les sanctions financières peuvent être très lourdes. La structure doit également communiquer auprès des personnes dont les données ont été volées ou perdues, engendrant ainsi des frais de communication imprévus. Par ailleurs, la structure est également tenue de mettre en place toutes les actions nécessaires pour récupérer les données, colmater les fuites et de se remettre en conformité si nécessaire. Toutes ces actions peuvent chiffrer très vite pour les entreprises ; quelle que soit leur taille, il s’agit là d’une dépense entachant leur trésorerie voire, pouvant les mettre financièrement en difficulté.
Comment se protéger et s’assurer contre les cyber-risques ?
Il existe des assurances qui ont pour objet de prendre en charge (à concurrence du montant garanti) les différents frais engendrés par la perte de données. Elle peuvent garantir les préjudices directs ou indirects. Montmirail construit des offres en cyber risques, sur mesure en fonction des besoins de chaque structure. A savoir :
– Une assistance avec des spécialistes, qui vont identifier les failles, colmater les fuites, établir un état des lieux des données subtilisées ou perdues et faire en sorte de les récupérer.
– Une assistance juridique qui va prendre en charge la partie réglementaire (CNIL, recherche en responsabilité, prise en charge de l’indemnisation pour dommage aux tiers, etc. )
– Une assistance à la gestion crise en termes de communication (interne auprès des actionnaires mais également externe auprès des clients et prospects)
– Une garantie contre les pertes d’exploitation liées à la problématique.
Les offres d’assurance Montmirail sont idéales pour les PME et les TPE qui ne peuvent pas s’offrir les services d’une entreprise cyber dédiée. Elles sont ainsi accompagnées à moindre coût pour un risque de plus en plus grandissant.
Contactez l’équipe Montmirail pour avoir plus de renseignements – mettre le mail iard@montmirail.com