Pour une entreprise, décider de ne pas se conformer au nouveau règlement européen sur la protection des données est doublement imprudent. D’une part, elle s’expose personnellement à de colossales sanctions financières. D’autre part, en cas d’incident de type cyberattaque, elle risque de compromettre durablement sa réputation, ce qui peut être encore plus dommageable qu’une simple amende, aussi conséquente soit-elle.

Non-conformité au RGPD : rappel des sanctions prévues

Dès le 25 mai 2018, la CNIL aura la possibilité d’intervenir à plusieurs niveaux auprès des entreprises qui ne respecteront pas toutes les obligations prévues par le RGPD.

Dans un premier temps, l’autorité de contrôle pourra se contenter d’adresser des avertissements et des mises en demeure. En cas de données sensibles, elle sera aussi susceptible de demander la limitation de certains traitements, voire même leur arrêt momentané. Le but étant d’amener les contrevenants à se mettre rapidement en conformité.

Par contre, si la situation venait à perdurer après les différentes mises en garde, la CNIL sera autorisée, en dernier recours, à délivrer de très fortes amendes. Celles-ci seront variables en fonction de la gravité des infractions constatées. Certaines seront fixées à 10 millions d’€, ou 2% du chiffre d’affaires annuel mondial, tandis que d’autres pourront s’élever à 20 millions d’€, ou 4% du chiffre d’affaires annuel mondial.

Évidemment, les entreprises auront tout à craindre de ces lourdes sanctions financières.

Ce n’est toutefois pas le seul souci qu’elles devront redouter. Il en est un, beaucoup plus insidieux, auquel elles seront forcément confrontées en cas de défaillance mal gérée : le déficit d’image, redoutable dans un contexte économique fortement concurrentiel.

Une mauvaise publicité très préjudiciable

Une politique assez floue et hasardeuse en matière de protection des données à caractère personnel est aujourd’hui un véritable souci en termes de sécurité et de confidentialité. Mais elle peut aussi poser de graves problèmes de notoriété à l’entreprise qui l’applique. A plus forte raison si cette dernière est très connue, voire cotée en bourse. L’impact économique et financier peut être dévastateur pour certaines : perte de confiance des clients, image de marque entachée, repli des investisseurs, etc. Plusieurs grands groupes en ont déjà fait les frais récemment.

C’est le cas d’Uber qui, en novembre 2017, a reconnu avoir fait l’objet d’un vol massif de données, survenu un an auparavant lors d’une cyberattaque. L’annonce s’est rapidement transformée en bombe médiatique, car l’incident a impacté 57 millions de personnes dans le monde, aussi bien des clients que des chauffeurs de la plateforme VTC, lesquels ont appris, avec une année de retard, que certaines de leurs données personnelles (noms, adresses, numéros de permis, etc.) avaient été piratées.

Plus que le vol de données en lui-même, c’est surtout le fait que l’entreprise ait attendu aussi longtemps pour signaler l’incident. Ce manque de transparence et de communication, que l’on peut expliquer par la volonté de ne pas ternir la réputation de la société, a en fait produit des effets complètements contraires à ceux escomptés. Une annonce franche, intelligemment menée, et faite dans des délais respectables (le RGPD prévoit dans les 72 heures maximum), aurait certainement permis d’amoindrir la crise, montrant au passage que l’entreprise ne fuit pas ses responsabilités, ce qui, dans ce sens, est une bonne chose en termes d’image.

Au final, mieux vaut donc ne pas attendre l’échéance du 25 mai 2018 pour commencer à adopter les bonnes pratiques de sécurité prévues par le nouveau règlement européen.

Sources :

https://www.linformaticien.com/dossiers/rgpd160-serez-vous-pr234t160-1.aspx

A venir : Conformité au RGPD : pourquoi les sous-traitants sont-ils aussi concernés ?