BFM Business

Entreprise recherche désespérément un "protecteur de données"

Un nouveau règlement européen sur la protection des données entrera en vigueur le 25 mai.

Un nouveau règlement européen sur la protection des données entrera en vigueur le 25 mai. - Geralt - Pixabay

À compter du 25 mai, certaines entreprises devront avoir nommer en leur sein un délégué à la protection des données personnelles. La Cnil estime à plus de 60.000 le nombre de personnes à désigner. Or ceux qui ont le profil requis ne sont pas nombreux.

De nombreuses entreprises cherchent, mais peinent, à recruter un délégué à la protection des données personnelles, une fonction rendue obligatoire dans certains cas par le nouveau règlement européen sur la protection des données (RGPD) qui entre en vigueur le 25 mai.

"Il y a des entreprises qui cherchent et qui ne trouvent pas", explique Patrick Blum, vice-président de l'Association française des correspondants aux données personnelles (AFCDP). "Il n'y a pas assez de gens qui sont formés", développe Patrick Blum, dont l'association reçoit aujourd'hui "plusieurs offres d'emploi" par semaine, contre "plusieurs par mois" auparavant. Selon la Commission nationale de l'informatique et des libertés (Cnil), la désignation d'un tel délégué sera obligatoire pour les entreprises "dont l'activité de base amène à réaliser un suivi régulier et systématique des personnes à grande échelle", ou qui "traitent à grande échelle des données dites sensibles", comme les condamnations pénales.

80.000 protecteurs des données

La Cnil estime qu'il faudra environ 80.000 protecteurs des données, alors qu'il n'y avait en 2016 que 17.000 correspondants informatique et libertés, professionnels qui remplissaient déjà un rôle semblable dans les entreprises et les administrations. Le futur délégué constituera une sorte de garde-fou interne, chargé de s'assurer que tous les services de l'entreprise respectent les exigences de la nouvelle législation, ce qui souvent ne sera pas une mince affaire.

"Aucune entreprise ne se dit prête pour l'instant" à respecter les dispositions du règlement européen, constate Michael Bittan, associé responsable des ressources cybersécurité chez Deloitte. "Il y a un certain affolement chez tous ceux qui n'ont jamais rien fait" pour respecter les dispositions déjà existantes de la loi Informatique et libertés, "et il y en a beaucoup", confirme Patrick Blum.

L'enjeu est de taille car le règlement européen prévoit des sanctions pouvant aller jusqu'à 4% du chiffre d'affaires pour les entreprises ne respectant pas ces dispositions. "Notre but ne sera pas de sanctionner immédiatement des manquements à des obligations nouvelles liées au RGPD. Cela durera certainement le temps de l'année 2018. Après, on verra", a assuré la présidente de la Cnil, Isabelle Falque-Pierrotin, dans un entretien publié en ligne dimanche par Les Échos.

Vérifier les différentes procédures

Un des premiers chantiers du futur délégué devra notamment être de recenser l'ensemble des traitements de données personnelles de l'entreprise, pour s'assurer qu'ils respectent bien les obligations légales. Et dans certains cas, la tâche promet d'être ardue. "Si un client demande la restitution de l'ensemble de ses données personnelles accumulées depuis 25 ans", comme le règlement le prévoit, il faut que l'entreprise puisse aller "récupérer cette information dans des systèmes d'information différents et l'effacer", une tâche potentiellement très complexe, relève Patrick Bittan. "Comment anonymiser des bases de données existantes?", s'interroge-t-il. "Ce sont des tâches gigantesques".

Le délégué aura aussi pour tâche de vérifier les différentes procédures de protection des données détenues par l'entreprise. Une démarche cruciale car les sociétés seront contraintes légalement à partir du 25 mai de déclarer à la Cnil les violations des données personnelles qu'elles détiennent, voire d'avertir les propriétaires de ces données.

"Imaginez le cas d'un commercial qui se fait voler dans sa voiture son ordinateur personnel protégé par un simple mot de passe et contenant un fichier client de l'entreprise" avec des données personnelles, souligne Patrick Blum. "Dans les 72 heures, la Cnil doit être avertie, et pour peu qu'il y ait des coordonnées bancaires dans le fichier, la Cnil peut vous obliger à prévenir tous vos clients", indique-t-il.

Mutualiser leurs ressources

Selon Michael Bittan, les entreprises financières sont les plus en avance, étant confrontées depuis longtemps à des exigences réglementaires complexes. "Aujourd'hui, il y a plein d'autres entreprises qui commencent à rentrer dans la démarche, comme les entreprises de marketing numérique", notamment sous la pression des grandes entreprises.

Certaines entreprises de taille trop modeste pour avoir un délégué à la protection des données à plein temps vont chercher à mutualiser leurs ressources, en faisant appel à un prestataire ou en partageant leur délégué avec d'autres. Le profil idéal pour un bon protecteur des données? "Il faut une coloration juridique, pour bien connaître les textes de lois", mais aussi "bien connaître les métiers" de l'entreprise, énumère Juliette Rouilloux-Sicre, déléguée à la protection des données personnelles du groupe Thales. "Une grosse partie de ce métier, c'est de la sensibilisation en interne", résume-t-elle.

D. L. avec AFP