Quels risques

Le RGPD est entré en application le 25 mai 2018 et pourtant nombreuses sont les entreprises à n’y être pas encore conformes et, parfois, à ne pas s’en inquiéter.

Un plugin RGPD sur mon site web et le tour est joué !

C’est mésestimer la portée et la rigueur de la démarche sous-tendue par la protection des données personnelles : le RGPD touche à l’ensemble des personnes en relation avec votre entreprise, clients provenant de tous canaux, employés, partenaires, …

On verra quand on aura un contrôle…

Justement, après une longue période de tolérance, la CNIL et la DGCCRF (en vertu de leur partenariat signé en mars 2019) sont en train de multiplier les contrôles et commence à infliger de lourdes amendes aux entreprises contrevenantes. Si votre activité est sensible en matière de données personnelles (e-commerce, santé, finance, mineurs, marketing, télétravail, …), le risque d’un contrôle est accru.

Mes logiciels sont déjà conformes au RGPD !

C’est certes un bon début, mais cela ne vous exonère absolument pas de votre responsabilité sur les procédures propres à votre entreprise, qui dépassent largement la seule conformité des outils sous-jacents.

Le risque pour vous, c’est celui que vous faites courir aujourd’hui aux données de vos utilisateurs

Avant de redouter que la CNIL ou la DGCCRF ne jette son dévolu sur votre entreprise et lance un contrôle inopiné, vous devriez plutôt songer à vos clients, partenaires et collaborateurs : ils sont susceptibles à tout moment de vous challenger sur l’usage que vous faites de leurs données personnelles. Ainsi, lorsqu’un client vous adresse une réclamation afférente à ses données personnelles, vous avez 1 mois pour y répondre, après quoi il est susceptible de saisir la CNIL ou la DGCCRF. Un clients pour qui vous êtes sous-traitant pourrait également vous attaquer pour inexécution contractuelle si vous ne respectez pas vos obligation en matière de RGPD.

 

La sanction administrative

Ce risque est perçu comme encore assez virtuel cependant qu’il devient mois après mois une réalité pour beaucoup d’entreprises. Ainsi la CNIL a conduit 7.000 actes d’investigation en 2019.

  • Concrètement, une sanction de la CNIL consécutive à un contrôle peut, si vous n’obtempérez pas aux avertissements et injonctions préalables, représenter une amende de 2 à 4 % de votre CA ;
  • Sans compter le temps perdu à répondre aux requêtes de l’inspecteur ;
  • Puis le travail de mise en conformité rendu à la fois fastidieux et urgent.

 

%

du CA

Le surcoût réparatoire

Le manque d’anticipation, de conseil et de planification se révèle toujours un mauvais calcul économique, a fortiori si un dommage sérieux a été effectivement causé à des données personnelles.

  • Les interventions techniques pour reconfigurer ou paramétrer vos outils défaillants : modes opératoires de vos logiciels (CRM, CMS, RH, …), protocoles de conservation sur vos bases de données, règles d’accès des utilisateurs, … ;
  • L’investissement dans des équipements adéquats lorsque vos traitements actuels sont trop inadaptés ou insécures (risques de cyberattaques, vulnérabilité aux ransomware, …) ;
  • Les frais juridiques (avocat, dommages-intérêts, …) en cas de procès intenté par un client, un partenaire ou un ancien collaborateur.

 

  • Frais & imprévus

La perte d’opportunités

S’agissant des appels d’offres publics, vous ne pouvez plus soumissionner sans certifier votre conformité au RGPD. Beaucoup d’entreprises dépendantes des marchés publics ne peuvent se payer le luxe de se priver de tels contrats.
Un nombre croissant de consultations privées ajoutent cette clause de conformité à leurs cahiers des charges.

 

  • Appels d’offres

L’enjeu réputationnel

C’est le risque le plus diffus mais probablement le plus coûteux à terme pour votre entreprise, surtout si le digital est au cœur de votre stratégie. Imaginez les conséquences désastreuses et durables sur votre image de marque si votre base installée, vos clients potentiels et vos concurrents avaient connaissance d’un usage illicite, intentionnel ou non, de leurs données personnelles, ou d’informations sensibles confiées à des tiers douteux ! La confiance est longue à conquérir mais si brève à anéantir.

  • Image de marque