Le 25 mai prochain, il sera trop tard. A cette date, le règlement européen sur la protection des données (RGPD) sera applicable aux entreprises françaises. Ces dernières devront assurer, à chaque instant, une protection optimale des informations personnelles fournies par leurs clients ou leur personnel. A défaut, elles encourent des sanctions financières très importantes, allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour les manquements les plus graves.

La tâche est complexe car, pour démontrer leur bonne foi en cas de faille de leur système de sécurité ou de contrôle des autorités, le RGPD leur impose la mise en œuvre de mécanismes et de procédures internes très contraignants. «Nous organisons depuis des mois des points d’étapes hebdomadaires, indique Antoine Pichot, data protection officer de la Société Générale. Nous ne lâcherons rien pour être opérationnels au 25 mai.» Si la plupart des entreprises avouent, d’ailleurs, du retard dans leur mise en conformité, certaines sont plus avancées, en particulier celles qui évoluent dans des secteurs déjà réglementés comme la banque et l’assurance et qui possèdent des systèmes d’informations très sécurisés. «La loi informatique et libertés ainsi que les exigences et bonnes pratiques de la CNIL encadrant depuis longtemps nos métiers, le sujet des données personnelles n’est pas révolutionnaire pour le secteur des assurances, explique Virginie Baudin-Guillemin, directrice des risques du groupe Henner. Mais il nous faut adapter nos règles et nos processus internes aux obligations du règlement européen.»