Vous avez dit RGPD ?
Tout le monde en parle, mais peine à en saisir les contours. Le très redouté RGPD (Règlement général de protection des données), qui entrera en vigueur le 25 mai, concerne toutes les entreprises qui traitent des données personnelles de citoyens européens. Une portée très large donc, qui contribue à alimenter les craintes autour de ce texte redouté. L'objet ultime de cette nouvelle réglementation européenne est le respect des droits des citoyens. Par quel moyen ? La responsabilisation des acteurs économiques de toutes tailles, qui traitent les données personnelles, notamment sous forme numérique. Les entreprises de toute taille se voient donc imposer un certain nombre de mesures et bonnes pratiques.
Quelles obligations, quelles sanctions ?
Les obligations liées au RGPD sont loin d'être anecdotiques… "On voit déjà se profiler un nouveau fossé entre les grandes entreprises, qui disposent de moyens humains et financiers importants et les PME ou TPE, pour lesquelles ces mesures représentent un souci et une charge décuplés," commente Christophe Lerouge, agent d'assurances à Château-Gontier. Parmi les mesures imposées, on peut évoquer la mise en place d'une traçabilité documentaire relative au traitement des données, la désignation d'un responsable de la protection des données ou encore la réalisation d'une étude d'impact pour tout traitement susceptible d'entraîner un risque. Ces démarches s'ajoutent bien entendu à des mesures techniques liées à la sécurisation des données. Si, malgré ces précautions, une violation de données à caractère personnel est constatée, une déclaration doit être faite auprès de la CNIL dans les 72 heures. La conformité avec la règlementation apparaît alors capitale, car l'amende prévue varie selon la gravité des faits, mais aussi selon le degré de responsabilité constaté (elle peut atteindre 4% du CA mondial d'une entreprise).
RGPD et assurance protection numérique ?
Dans ce nouveau contexte réglementaire, vu les risques encourus et le préjudice financier potentiel, la question de l'assurance ne manque pas de se poser.
Le risque zéro n'existe pas
Il faut rappeler en premier lieu que le cyber-risque lié à la fuite de données peut relever d'un acte de malveillance comme d'une erreur ou négligence interne (clé USB infectée d'un virus, lien vérolé, usurpation d'ientité). Même en cumulant toutes les bonnes pratiques, il semble difficile d'éviter totalement ces aléas. Certes, la responsabilité (et donc l'amende potentielle) est atténuée d'autant que la conformité de l'entreprise avec le RGPD est établie. Mais reste le préjudice subi par l'entreprise elle-même : frais d'expertise, de reconstitution des données, pertes d'exploitation…
Protéger les données des citoyens… et son entreprise !
Ainsi, ce RGPD met en lumière autant la nécessité de respecter l'identité du client que d'assurer la pérennité de l'entreprise. La garantie protection numérique, qui n'est aucunement obligatoire dans le cadre du RGPD, apparaît néanmoins comme une solution complémentaire, adaptée aux risques encourus. "Plus qu'un simple contrat, c'est un accompagnement dans les démarches à réaliser en cas de problème, qui débouche le cas échéant sur une indemnisation des dommages que le client a causé et subi. Il inclut les problématiques du RGPD, en prévoyant aussi des garanties élargies, qui couvrent tout le spectre du cyber-risque".