GDPR. Toutes concernées

Pratique
Par · 24/02/2017

Aucune société, quelle que soit sa taille ou son secteur d’activité, aucun professionnel n’échappera aux implications de la nouvelle réglementation. Certes les risques et l’ampleur des mesures à prendre varieront selon les acteurs mais estimer pouvoir fermer les yeux serait potentiellement lourd de conséquences.

Première chose dont il faut prendre conscience: le champ d’application de la directive est plus vaste qu’il ne pourrait y paraître à première vue. Sont en effet concernées les données à caractère personnel. Le “problème” est que l’on tombe très rapidement dans le champ du “personnel”.

Toute utilisation (exploitation) de données à caractère personnel devra être justifiée. L’entreprise ou le professionnel devra demander formellement l’accord de la personne dont on désire utiliser et/ou traiter les données, en précisant clairement les finalités de ce traitement

Tout professionnel, toute société (quelle que soit sa taille), tout indépendant qui utilise des données à caractère personnel dans le cadre et dans des finalités professionnelles tombe sous le coup de ce nouveau réglement général. Et de multiplies types d’“utilisation” sont concernés: depuis la collecte d’informations, la simple constitution d’une liste ou d’un fichier jusqu’à la création de profils…

Quelques exemples de types de données “personnelles”? Les adresses courriel bien entendu mais aussi les informations de profilage et les adresses IP dynamiques. Sans oublier le problème des cookies qui, une fois exploitées en combinant adresse IP, numéro de série voire données “comportementales” (visites de site, achats en-ligne…), deviennent de puissants outils d’intrusion dans le champ “privé” et personnel.

Toutes concernées

Autre point essentiel à souligner: toutes les entreprises et tous les organismes sont concernés par cette nouvelle réglementation. Tous et toutes, en effet, sont amenés, à des degrés divers, à traiter des données à caractère personnel et toutes courent le risque d’être la cible – et les victimes – de vols ou d’attaques visant des données à caractère personnel.

Le règlement général vise toute société ou organisme présent ou actif sur le territoire national (et européen). La nationalité d’origine n’a donc pas d’importance. Des sociétés dont le QG est basé aux Etats-Unis, en Chine ou ailleurs sont concernées dès l’instant où elles ont des activités en Belgique. Que ces activités passent par une implantation physique ou purement en-ligne.

Antoine Declève, avocat associé au cabinet Célès, prend l’exemple du site de commerce en-ligne chinois Alibaba: il est bel et bien actif en Europe, proposant des ventes en-ligne, opère dans des langues locales, permet des paiements en euros… et traite évidemment des données à caractère personnel de ses clients et utilisateurs.

Les sites de commerce électronique mais aussi les forums sociaux, par exemple, tombent donc sous le coup du nouveau règlement.

Les PME ne sont pas à l’abri. De moins en moins, d’ailleurs.

“Trop souvent encore, les PME pensent, à tort, que cela ne les concernent pas parce qu’elles ne seraient pas la cible de hackers”, souligne Marie Del Marmol, directrice de la filiale belge d’Insight, société spécialisée dans les services IT (solutions de productivité, sécurité, gestion de licences…).

“Ce qui était vrai hier ne l’est plus aujourd’hui. Des statistiques prouvent en effet que 73% des moyennes entreprises se font attaquer. Les hackers s’intéressent désormais beaucoup plus aux PME. Pour plusieurs raisons. D’une part, parce que les grandes entreprises, déjà souvent attaquées, ont pris des mesures pour se protéger. D’autre part, parce que les PME, elles, sont moins bien protégées…”

Marie Del Marmol (Insight): “L’arrivée de la GDPR va peut-être aider les responsables IT et sécurité à justifier auprès de la direction de l’entreprise les budgets et les mesures à prendre. En cas d’incident, les amendes et, dès lors, l’impact pour la société, peuvent être non négligeables. Il deviendra ainsi plus facile de convaincre et de mobiliser le management.”

Même analyse dans la bouche de Frédéric Gelissen (ProcSima), consultant spécialisé dans la sécurité informatique: “Les PME et TPE sont pour la plupart très négligentes en matière de sécurité de l’information. Le nombre d’attaques, de pertes de données, de fraudes … dans les PME est extrêmement élevé.”

Il évoque notamment le phénomène des “ransonware” (rançongiciels) qui est en nette progression. “Les hackers cryptent les données et menacent de les publier sur Internet si la rançon n’est pas payée. Pas loin de 80% des attaques concernent les PME. Une personne sur 30 a été attaquée au Royaume-Uni par un “crypto-ransomware”. 40% ont été obligées de payer la rançon car elles n’étaient pas préparées. Et l’on dénombre de 60 à 150.000 infections par ransomware par mois dans le monde…” [Source de ses chiffres: Symantec – Rapport “Ransomware and Business 2016”]