RGPD : un guide de bonne conduite pour les installateurs

Date de publication : 16/05/2018  |  D. K.

Les participants et rédacteurs du guide, de gauche à droite, Eric Le Quellenec, avocat et directeur du département informatique conseil, Lexing Alain Bensoussan Avocats, Amaury Lequette, Directeur CNPP Cert., groupe CNPP, Jean-Christophe Chwat, président GPMSE Fédération, Alain Bensoussan, avocat et fondateur du cabinet Lexing Alain Bensoussan Avocats, Luc Jouve, président GPMSE Installation et Stéphane Letellier, Chargé des comptes, au sein du Département Sécurité du Groupe Verspieren (crédits photo : D.K. / Face au Risque)
Les participants et rédacteurs du guide, de gauche à droite, Eric Le Quellenec, avocat et directeur du département informatique conseil, Lexing Alain Bensoussan Avocats, Amaury Lequette, Directeur CNPP Cert., groupe CNPP, Jean-Christophe Chwat, président GPMSE Fédération, Alain Bensoussan, avocat et fondateur du cabinet Lexing Alain Bensoussan Avocats, Luc Jouve, président GPMSE Installation et Stéphane Letellier, Chargé des comptes, au sein du Département Sécurité du Groupe Verspieren (crédits photo : D.K. / Face au Risque)

Alors que le Réglement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018, le GPMSE a publié un guide de bonne conduite à destination de ses adhérents, les installateurs et mainteneurs de systèmes de sécurité électronique, pour les aider à l'appliquer et mieux conseiller leurs clients face au risque cyber.

Début mai, le GPMSE a annoncé la publication d'un guide de bonne conduite à destination de ses adhérents, dirigeants de sociétés d'installation en sécurité électronique et de télésurveillance.

Ce guide, rédigé avec la contribution du ministère de l’Intérieur, de l'Anssi (l'Agence nationale de sécurité des systèmes d'informations), du cabinet Lexing Alain Bensoussan avocats, spécialisé dans le droit numérique et les technologies avancées, et des experts comme CNPP et Verspieren, vise à préparer les installateurs au "Big Bang" de la protection des données.

Depuis le 25 mai 2018, toutes les entreprises devront être conformes au nouveau règlement européen sur la protection des données.

À la veille du Big Bang de la protection des données

La Cnil, responsable du contrôle de l'application de la loi, a déjà prévenu dès la fin avril, que les premiers contrôles seraient d'abord pédagogiques :

"Les contrôles auront essentiellement pour but, dans un premier temps, d'accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes", expliquait ainsi Isabelle Falque-Pierrotin, sa président lors de la présentation de son rapport annuel 2017.

Cependant, l'enjeu est multiple, ont rappelé les différents intervenants lors de la présentation du guide GPMSE.

Un enjeu de taille pour les installateurs

Il ne s'agit pas simplement d'une conformité réglementaire, de la responsabilité juridique du dirigeant, mais il s'agit aussi d'un risque financier important et d'un risque d'image non négligeable.

Le guide est constitué de cinq chapitres : le premier sur la responsabilité juridique des installateurs, qui se trouve accrue notamment par le jeu du devoir d'information.

Plusieurs contrats, plusieurs responsabilités

Mais, rappelle le chapitre 2, cette responsabilité est différenciée en fonction de la nature des contrats et des prestations.

Par exemple, le fait de souscrire ou non à un service de maintenance n'a pas le même impact en termes de responsabilité.

Déclaration sous 72 heures

Le chapitre 3 rappelle la politique de lutte contre les cybermenaces.

Perçu comme une menace, le RGPD est pourtant avant-tout une loi pour renforcer la confiance des différents acteurs dans le traitements des données à caractère personnel et éviter toute dérive, notamment les accès frauduleux.

Dans cette perspective, les intrusions, le vol de données et, de manière générale, toute faille de sécurité doivent être déclarés dans les 72 heures. 

Loin d'être évident pour beaucoup d'entreprises au regard des précédents. On se souvient ainsi qu' Uber avait mis plus d'un an à informer ses utilisateurs d'un piratage. 

Des solutions existent

Le chapitre 4 est consacré aux solutions disponibles pour prévenir tout engagement de responsabilité.

La part belle est faite aux certifications, qualifications et visas de sécurité délivrés par l'Anssi, CNPP ou encore aux outils proposés par Verspieren.

Vers une moralisation reconnue de la profession

Enfin, le chapitre 5 ouvre des perspectives.

L'examen du contexte juridique à l'étranger fait dire aux membres du GPMSE que la profession pourrait être mieux encadrée.

Le GPMSE souhaite ainsi faire rentrer, a minima, les dirigeants et les techniciens des entreprises d'installation et de maintenance dans le lise VI du code de sécurité intérieure, de façon à mieux encadrer la profession.

De fait, cela permettrait la mise en place d'enquêtes de moralité et la délivrance de cartes professionnelles par le Cnaps.

Le RGPD, une opportunité pour la profession

Au final, pour Jean-Christophe Chwat, président de GPMSE Fédération, le RGPD est une opportunité qui permet de placer le client au cœur des priorités de l'entreprise de sécurité électronique, de mieux accompagner et de mieux conseiller les utilisateurs.

Vers un changement de nom du syndicat

Constatant le changement de paradigme, il annonce, aux côtés de Luc Jouve, président de GPMSE Installation et à l'instigation du guide, le futur changement de nom de la fédération pour davantage marquer l'ancrage de la profession dans l'ère numérique.