RGPD 2018 : quels impacts sur les ERP et comment s’y préparer ?

Applicable à partir du 25 mai, le nouveau Règlement Général sur la Protection des Données (RGPD) fait déjà beaucoup parler de lui. Et pour cause, ce texte d’une centaine d’articles redéfinit complètement les obligations des entreprises envers les données personnelles de leurs clients et utilisateurs. Il vient compléter des directives déjà en place, avec cette différence notable qu’en tant que règlement, il fera office de loi dans les 27 pays membres de l’UE.

Par définition, les ERP brassent, stockent, et analysent constamment de nombreuses données personnelles. Par conséquent, il va sans dire que le RGPD aura un impact important sur les systèmes ERP des entreprises. Pour être prêt le 25 mai, mieux vaut savoir ce qui vous attend !

Le RGPD en bref

Pour commencer, il faut savoir que ce document a été créé pour remédier sérieusement au laxisme européen dans le domaine de la protection des données privées sur Internet. Conséquence : il se veut sévère et intransigeant. Des sanctions extrêmement lourdes sont prévues pour ceux qui manqueraient aux nombreuses obligations décrites par le RGPD : financièrement, l’amende sera de 20 millions d’euros minimum (pour les PME et organismes publics) et de 4% du chiffre d’affaire global pour les grands groupes multinationaux tels que Google ou Amazon. Sont aussi prévues des sanctions pénales (jusqu’à 5 ans d’emprisonnement pour le responsable du traitement en cause), opérationnelles (du simple avertissement au retrait d’autorisation du traitement), et médiatiques (la CNIL étant autorisée à rendre publique les sanctions qu’elle prononcera).

Dans la pratique, les obligations sont plutôt contraignantes : les entreprises ne seront plus autorisées à collecter des données superflues et à sauvegarder les données après traitement “au cas où”. Evidemment, les utilisateurs devront avoir consenti clairement au traitement de leurs données au préalable. Une fois ce consentement donné, les entreprises seront tenues d’assurer la sécurité des données, de déclarer l’utilisation qu’elles en font, et de signaler toute fuite ou violation de ces données dans les 72 heures. D’autres points, qui existaient déjà dans les précédentes directives, sont renforcés, dont notamment le droit à l’oubli et le droit à la portabilité des données, mais aussi l’obligation d’afficher des mentions légales, les précautions à prendre concernant le traitement des données sensibles… Enfin, les entreprises ne pourront pas transférer de données personnelles hors de l’UE.

Quel impact sur les systèmes ERP ?

Bonne nouvelle : le RGPD n’aura pas autant d’impact sur les ERP qu’on pourrait le croire. En effet, l’objectif premier du nouveau règlement est d’assurer la sécurité des données, or, c’est déjà la priorité numéro un de tous les logiciels ERP, surtout les logiciels en SaaS. Les droits d’accès sont gérés de manière rigoureuse et les logiciels travaillent constamment à prévenir les fuites et vols de données.

Néanmoins, quelques points sont à prendre en compte pour éviter toute sanction :

• Le droit à l’oubli : toute personne a le droit de demander la suppression de la totalité de ses données personnelles. Les logiciels ERP devront donc prévoir une fonctionnalité permettant de supprimer toutes les données d’un utilisateur dans l’instant où il en fait la demande, ainsi que les données liées.

• Le droit à la portabilité des données : en plus de pouvoir consulter ses données, l’utilisateur doit pouvoir les stocker et les conserver. Les ERP devront donc incorporer une fonctionnalité permettant à l’utilisateur d’exporter lui-même ses données, dans un format standard et lisible sans contraintes techniques ou financières (XML, par exemple). Ce point concerne non seulement les données que la personne aura explicitement accepté de transmettre, mais aussi les données collectées de son activité (sa timeline par exemple).

• Le droit de modification de ses données : l’utilisateur devra pouvoir modifier lui-même toutes ses données, via un formulaire éditable par exemple, ou en le demandant directement au support.

• Le droit de revenir sur son consentement : même après avoir donné son consentement au traitement de ses données personnelles, l’utilisateur pourra à tout moment revenir dessus. L’idéal serait de mettre en place une interface lui permettant de gérer ses autorisations, comme le font actuellement de nombreuses applications mobiles.

Dernier point, après avoir développé ces fonctionnalités, les ERP devront bien évidemment notifier les utilisateurs de leur existence…

Si vous n’avez pas encore intégré ces changements, il est temps de se mettre au diapason ! Finalement, les changements à faire ne feront que formaliser des droits qui existaient déjà dans l’esprit de tous les logiciels ERP.