Parce qu’ils sont attentifs, et que cela fait plus d’un an que l’on évoque le sujet régulièrement, les lecteurs d’ITnation ont forcément entendu parler de GDPR. Beaucoup d’entre eux, sans doute, se préparent à l’entrée en application du nouveau Règlement Général sur la Protection des Données personnelles, le 25 mai prochain. Tous ceux dans le cas, très certainement, peuvent se dire avoir un avantage compétitif sur beaucoup d’autres. Car si l’on en croit une récente étude menée par le cabinet Forrester, dont les résultats ont été relayés par le quotidien français Les Echos en début de semaine, à 100 jours de l’entrée en vigueur du règlement, seulement 26% des entreprises européennes seraient totalement conformes.

Exposées à de lourdes peines

Ce chiffre sonne comme un cri d’alarme. La grande majorité des entreprises, une fois la date d’entrée en vigueur passée, s’expose à des sanctions lourdes pour non-respect du cadre visant à protéger les données personnelles des résidents de l’Union européenne. Le 25 mai, selon les régulateurs dans la plupart des pays, n’est cependant pas synonyme de couperet. Les acteurs chargés du contrôle ont tendance à se placer, dans un premier temps, dans une logique d’accompagnement, pour plusieurs mois encore. Cependant, pour les entreprises, le chantier de mise en conformité peut être conséquent.

Des investissements conséquents

Les Echos, relayant les résultats de l’étude, évoquaient un investissement compris entre 30 et 50 millions d’euros pour un grand groupe, selon différentes études. La mise en conformité inclut des adaptations d’ordre juridique, une identification de l’ensemble des traitements des données personnes au cœur d’une entreprise, une évaluation des risques liés à chaque donnée conservée et traitée. Elle implique aussi une adaptation des processus et une transformation des systèmes informatiques, pour assurer une protection et un traitement conformes, ou encore garantir les nouveaux droits accordés aux citoyens, comme celui à la portabilité des données ou encore le droit à l’oubli.

Un défi pour les PME

Si les grands groupes sont conscientisés, et se préparent à l’échéance avec une plus ou moins grande inertie, pour les PME, c’est un autre défi. Non seulement la facture risque d’être difficile à assumer, mais le sujet n’est pas toujours simple à appréhender.

Il n’est toutefois pas trop tard pour réagir. Si l’on prend la situation luxembourgeoise, toutes les sociétés sont censées respecter un nombre de règles reprises dans GDPR, qui figuraient déjà dans la loi de 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.

Identifier les risques, établir des priorités

Ensuite, face aux nouveaux enjeux fixés par GDPR, il faut prioriser les chantiers, au regard des risques encourus pour les données des citoyens traitées dans le cadre des activités de l’entreprise. Ces risques, aujourd’hui, se confondent à ceux de l’entreprise. Petit à petit, les acteurs devraient donc prendre le chantier à bras le corps, pour réduire leur exposition aux risques. Il y a fort à parier, cependant, qu’il faudra encore plusieurs mois avant de voir une majorité des entreprises conformes au Règlement.