Quel est le point commun entre une multinationale spécialisée dans les énergies fossiles, une chaine de restaurants nationale ou une entreprise de plomberie familiale ?
Elles sont toutes soumises à un ensemble de règles et de politiques !
En effet, peu importe l’emplacement, le nombre d’employés ou le secteur d’activité, toute société enregistrée dans le registre du commerce a des droits mais également des devoirs, conditionnant son activité et son champ d’application.
Respecter ces lois et directives est non seulement obligatoire mais également l’unique moyen de minimiser les risques internes et externes. C’est ce que l’on appelle la conformité !
Devant le nombre croissant de mises à jour règlementaires et la multiplication des menaces (digitales, technologiques, écologiques, financières etc.), de nombreuses entreprises peuvent se sentir isolées, perdues ou simplement être ignorante par manque de données, de moyens ou de stratégie de collecte d’information. Mais l’heure tourne et les manquements à la compliance ont plus de chance de subvenir avec le temps qui passe.
Dès lors, comment s’assurer d’une conformité sans faille ? Nous pouvons résumer toute action en trois étapes :
- Identifier les failles
- Savoir à quelle loi se conformer en priorité
- Avoir les outils nécessaires pour gérer la transition
Afin d’illustrer ce que la gestion de la GRC (Gouvernance, des Risques et de la Conformité) est, NAVEX va vous présenter trois simulations d’études de cas, basées sur des expériences clients réelles. Chacune de ces entreprises se distinguent par leur taille, domaine, chiffres d’affaires mais ont un point commun : comment être dans les clous de la loi ?
Le client
Commençons notre série par une société familiale.
- Forme juridique : SA
- Nombre d’employés : 53
- Secteur d’activité : Construction/BTP
- Emplacement : Toulouse
- Chiffre d’affaires 2024 : 2 502 411 €
Le dirigeant de la compagnie, Sébastien Bauchaud, est inquiet. Les cas de tentative d’escroquerie professionnelle concernant les services manuels se sont multipliés ces derniers mois dans la région. Après enquête, il s’est avéré que des pirates ont réussi a infiltré des bases de données de petites et moyennes entreprises (PME) et assurer des faux suivis auprès d’anciens clients soi-disant en leur nom. La raison principale invoquée ? Le faible niveau de protection informatique des entreprises. Il fut assez facile pour les hackers de pénétrer leurs réseaux, saisir et dupliquer les données puis mettre en place les fraudes qui sont estimées à plusieurs centaines de milliers d’euros.
Identifier la faille
M. Bauchaud est conscient de la fragilité de son propre système informatique. Sa secrétaire et lui-même utilisent deux appareils (un ordinateur de bureau et un smartphone) pour gérer toutes leurs activités et la comptabilité. À part un antivirus et un pare-feu, ils n’ont pas grand-chose pour se protéger et ils utilisent seulement Excel pour gérer la base de données client.
Par conséquent, un travail de mise a jour est nécessaire, mais comment s’y prendre et par où commencer ?
À quoi se conformer ?
En tant que PME, Bauchaud est soumise a moins de règlements. Mais il y a une directive bien précise qui s’applique à toute société : le RGPD (Règlement General sur la Protection des Données). C’est la secrétaire de l’entreprise qui a eu cette information par le biais d’un ami juriste.
Champ d’application du RGPD
Il concerne toute entreprise qui collecte, stocke ou utilise des données personnelles (numériques et papiers), qu’il s’agisse de clients, de fournisseurs, d’employés, etc.
Obligations
Transparence : Les PME doivent informer clairement les personnes concernées de la manière dont leurs données sont utilisées
Sécurité : Elles doivent mettre en place des mesures de sécurité pour protéger les données contre les pertes, les vols ou les accès non autorisés
Droits des personnes : Les PME doivent respecter les droits des personnes concernées, tels que le droit d’accès, de rectification, d’effacement et de portabilité de leurs données
Registre des traitements : Les PME doivent tenir un registre des activités de traitement de données personnelles. Ce registre permet de faire l’inventaire des fichiers de données personnelles (gestion de la paie, gestion des clients/prospects, des fournisseurs etc.)
Adaptation aux PME
Au vu de leurs moyens limités, la CNIL propose des guides et outils adaptes pour les aider à se conformer au RGPD.
Par ailleurs, certaines obligations, comme la désignation d’un délégué à la protection des données (DPO), ne sont pas obligatoires pour toutes les PME, sauf si leurs activités de traitement présentent des risques particuliers.
Un outil pour la GRC
Maintenant que la menace et la loi sont identifiées, que faire ? Au vu du caractère digital inhérent au risque, il est primordial d’avoir un système informatique infaillible répondant également aux exigences de la Directive. NAVEX propose un ensemble de solutions qui assure cette conformité.
En somme, l’adhésion au RGPD repose sur quatre éléments :
- La compréhension de l’équipe
- La sécurité des données
- La tenue des registres
- Le respect des obligations de déclaration
NAVEX offre des ressources pour chacun de ces défis :
| Exigence | Composant |
| Sensibilisation à la confidentialité des données | Formation au RGPD |
| Développement de politiques de confidentialité et de sécurité conformes | NAVEX One PolicyTech |
| Surveillance et mise à jour des mesures de conformité | NAVEX Risk & Governance |
Et après ?
De l’évaluation des menaces au suivi des mesures en passant par une formation et aux audits, l’adaptabilité au RGPD demande un effort de tous les instants qui ne s’arrête pas à l’installation du logiciel. La loi sur la protection des données a connu de multiples mises à jour depuis son instauration en 2018 et les risques en ligne évoluent constamment pour se jouer des défenses. Voila pourquoi il est important d’être au fait de ce qui se produit dans son environnement et ainsi limiter les impacts négatifs. Avoir un partenaire confiance comme NAVEX est la clé pour y faire face de manière proactive.
