Alors que le juridique, le marketing et la sécurité ne cessent de s’approprier les bienfaits du RGPD, il ne faut pas oublier le plus important, au carrefour des conséquences de l’entrée en application du RGPD : le système d’information.
Par Yaël Cohen-Hadria (*)
Sans le système d’information, la conformité au RGPD ne peut pas être mise en œuvre. Le système d’information d’une entreprise centralise et encadre l’exploitation de l’or noir du XXIème siècle : la « donnée ». Après avoir compris pourquoi le système d’information est au cœur du RGPD, ne serait-il pas essentiel de s’interroger sur la façon de le valoriser au bilan comptable de l’entreprise ?
Un contexte technique, répressif et organisationnel
RGPD : ces quatre lettres qui ont fait couler beaucoup d’encre ces derniers mois. Rappelons que le RGPD est le Règlement Général sur la Protection des Données personnelles, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il a contraint les entreprises à se mettre en conformité et ainsi à respecter la loi en matière de collecte, de traitement, d’exploitation, de conservation et de suppression de ces données. L’enjeu financier est important, car les sanctions en cas de manquement à ce RGPD peuvent aller jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros (le plus haut des deux).
Cette mise en conformité était donc prioritaire, pour un très grand nombre d’entreprises, en 2018. Or, un plan de mise en conformité nécessite de faire appel à des moyens financiers, humains et matériels importants. On l’aura compris, le plan de mise en conformité a pu coûter cher à certaines entreprises (voir encadré). Mais plus que cela, même si une entreprise avait déjà atteint un niveau de conformité proche de 100 %, il ne faut pas oublier qu’elle doit maintenir en conformité ses traitements de données à caractère personnel. Avec l’entrée en application du RGPD, les entreprises peuvent et doivent rationnaliser et maîtriser le traitement des données au quotidien, ce qui implique la mise en conformité des systèmes d’information.Mais ce changement de gouvernance autour de la donnée a un coût. Comme tout bon gestionnaire, le dirigeant d’entreprise est légitime à se demander désormais comment valoriser ces investissements parfois colossaux.
Une valorisation par l’exploitation conforme
La mise en conformité au RGPD est souvent la réponse des entreprises qui craignent des sanctions (financières ou réputationnelles) de la Cnil. On a également pu observer que nombre d’entreprises se sont mises en conformité pour obtenir des marchés, inspirer la confiance des clients et des investisseurs. Que ce soit par crainte des sanctions financières ou réputationnelles, ou par volonté d’être conforme, la grande majorité des entreprises sont donc dans une démarche de conformité au RGPD.
Celle-ci passe, tout d’abord, par la cartographie des traitements de données. Cette étape permet à l’entreprise de lister et de situer ses traitements de données à caractère personnel. Elle facilite également l’identification des flux de données et des habilitations d’accès. Ensuite, à partir de la cartographie, une mesure de conformité est réalisée au regard du RGPD. Les principaux manquements communément observés portent sur la rationalisation des habilitations d’accès aux données, la sécurisation des envois de fichiers par e-mail, la durée de conservation des données et la démultiplication de la donnée sur des tableaux Excel en lieu et place des applications métiers.
Définir un plan d’actions
C’est alors que peut se mettre en place un plan d’actions, une étape importante. Il ne peut pas être le même pour toutes les entreprises. Il doit être adapté en fonction du métier de l’entreprise, du risque sur les données, des moyens financiers, de l’agilité et du temps qu’elle peut y consacrer. On comprend, en effet, qu’une entreprise dans l’industrie, qui ne traite que peu de données à caractère personnel, élaborera un plan d’actions différent de l’entreprise axée sur la donnée client consommateur, par exemple.
La rédaction du plan d’actions et du rétroplanning associé est donc fondamentale pour ne pas « noyer » l’entreprise dans une série d’actions disproportionnées. La gestion du risque doit guider la rédaction de ce plan d’actions. Pour ce qui concerne les systèmes d’information, ce plan passe notamment par les six actions suivantes :
- La mise en place d’une méthode de Privacy by Design pour mesurer la conformité des traitements de données à venir.
- La création ou la mise à jour d’une PSSI (Politique de Sécurité des Systèmes d’Information).
- La création ou la mise à jour de chartes administrateurs des systèmes et du réseau.
- La création ou la mise à jour d’une charte informatique.
- L’adoption d’outils de contrôle de la sécurité des données personnelles dans le système d’information (tests d’intrusion, recovery…).
- Le suivi du cycle de vie de la donnée : qui la collecte, où elle se situe, qui y a accès, qui la partage, la modifie, quand l’archiver, quand la supprimer.
On ne peut que constater que l’ensemble des mesures a une incidence forte sur les systèmes d’information, qui doivent s’adapter. Cette transformation du système d’information a un coût organisationnel, financier et humain important. Or, une entreprise dont le système d’information est conforme aux exigences du RGPD est une entreprise dont la valeur est incontestable.
Une valorisation par l’inscription au bilan comptable de l’entreprise
Compte tenu de tout ce qui précède, il apparaît évident que les investissements ont permis d’améliorer le système d’information, et cet apport valorise l’entreprise.
Force est de reconnaître qu’il n’est pas toujours simple de porter à l’actif immatériel de l’entreprise ces évolutions imposées par le RGPD. Cela ne signifie pas que c’est impossible. Bien au contraire, certaines études sont déjà menées en ce sens. Spécialiste de la propriété intellectuelle, il m’est possible de constater que les droits de propriété intellectuelle gagnent leur place, petit à petit au bilan comptable des entreprises. L’un des premiers droits immatériels à être inscrit au bilan fut le brevet, pour des raisons évidentes. Ensuite, le droit des marques a fait son entrée. En effet, au tout début, la marque d’une entreprise n’était pas valorisable dans l’actif immatériel. Aujourd’hui, certaines marques ont même une valeur pouvant dépasser les actifs matériels. Il est donc acquis que des marques sont déposées, valorisées et portées au bilan comptable de l’entreprise.
On peut également citer le cas du site Internet. Il n’était pas porté à l’actif immatériel de l’entreprise. Or, certains sites Internet, par exemple dans le domaine du e-commerce, remplacent les points de ventes (pure players). Il va sans dire que le site Internet est également désormais valorisé au bilan comptable de l’entreprise. Enfin, un travail est parfois fait dans certaines entreprises pour valoriser les bases de données, quand l’objet social de l’entreprise est centré sur les secteurs de vente, location et collecte des données. A ce jour, la valorisation de ces bases est encore en amélioration, mais, surtout, ne touche pas toutes les entreprises alors qu’elles investissent dans les données, pour leur conformité. En revanche, la valorisation des systèmes d’information n’apparaît pas encore au bilan comptable de l’entreprise. Avec l’entrée en application du RGPD, de multiples outils, API et développements sont réalisés : il apparaît urgent et nécessaire de faire entrer les systèmes d’information au bilan comptable de l’entreprise.
Une valorisation est possible, du fait des investissements matériels, humains et financiers, mais aussi du fait de la valeur incontestable d’un système d’information conforme au RGPD.
Pour les entreprises qui ont entamé et mis en place leur plan d’actions de conformité au RGPD, il faudrait également se poser la question d’obtenir un label de la Cnil pour valoriser ces efforts. L’obtenir n’est pas toujours aisé, sauf si elles ont l’habitude des procédures administratives et juridiques. Mais le label de la Cnil étant indépendant et gratuit, il a une forte valeur dans les appels d’offres et pour l’amélioration de la communication de l’entreprise.
Cet article a été écrit par Yaël Cohen-Hadria, avocat associée, Département IP/IT/Data de Marvell Avocats, et DPO (Déléguée à la Protection des Données).
RGPD : une répartition des coûts
Selon le cabinet de conseil Wavestone, les programmes RGPD se chiffrent aujourd’hui, pour de grands groupes internationaux, entre un et cinq millions d’euros pour les organisations manipulant un nombre raisonnable de données personnelles et peu mobilisées sur le Big Data ou le profiling. Et jusqu’à des fourchettes allant de 20 à 50 millions d’euros, lorsque l’entreprise a plusieurs métiers et de très nombreuses entités/filiales. La répartition moyenne des coûts est la suivante :
- Exercice des droits : 20 % du budget.
- Privacy by Design : 15 %.
- Encadrement des transferts de données : 10 %.
- Information des personnes et consentement : 10 %.
- Politiques, directives et organisation : 10 %.
- Contrôles et audit : 5 %.
- Registre et principes associés : 5 %.
- Amélioration des mesures de sécurité : 5 %.
- Communication, formation, sensibilisation : 5 %.
Les charges se répartissent à hauteur de 40 % pour les DSI/RSSI, de 25 % pour les métiers, de 20 % pour le juridique et le DPO et de 15 % pour le pilotage.