Ce n’est pas un voyant mais deux qui ont poussé le courtier en assurances Montmirail (90 salariés pour 10 millions de chiffre d’affaires) à déclencher dès 2017 sa mise en conformité avec le RGPD, explique Éric Cavasse, son directeur administratif et financier : « Le premier, c’est le niveau de risque en cas de non-conformité : 4 % du chiffre d’affaires ou 20 millions d’euros représentent dix ans de travail de notre cabinet ! Le second, c’est la fin de l’illusion que nous étions à l’abri d’une cyber attaque parce que nous étions une petite structure. En 2017, nous en avons repéré une demi-douzaine. »

Le plan de mise en conformité de Montmirail s’est déroulé en trois phases. La première a consisté à auditer les traitements et à dresser une typologie des différentes catégories de données. Durant la deuxième a été mise en œuvre une sensibilisation des collaborateurs aux principes du RGPD. Elle devrait se poursuivre en 2019 avec le lancement d’un système de certification interne via un module d’e-learning afin de valider l’acquisition de cette approche.

La troisième étape a impacté l’ensemble de l’organisation. Montmirail a en effet décider de repenser ses processus. « Plus spécifiquement, l’accès à l’information n’est désormais possible que s’il est nécessaire et pour une durée définie », résume Éric Cavasse. Les ports USB des ordinateurs ont été désactivés et le volume des pièces jointes aux e-mails limité. L’envoi d’un fichier dépassant la taille définie exige l’accord express de la DSI. De même, extraire des données et les enregistrer sur son ordinateur est désormais impossible afin d’éliminer toute diffusion incontrôlée d’information.

En parallèle, la sécurité informatique a été renforcée et représente aujourd’hui un budget équivalent à 15 % des charges d’exploitation hors salaires. Le système traditionnel de connexion par identifiant et mot de passe a été remisé au rayon des souvenirs. Désormais, c’est avec un dispositif de reconnaissance biométrique géré par un tiers de confiance que les collaborateurs sont reconnus par le système informatique.

Si la mise en conformité a pu être menée à terme, Éric Cavasse alerte cependant sur les freins que ces démarches peuvent susciter, en particulier dans les PME : « Nous sommes une petite structure et nous devons gérer à la fois notre croissance mais aussi la digitalisation de nos métiers ainsi que les différentes mises en conformité, qui se succèdent. Il y a un risque de démotivation des collaborateurs qui peut amener une perte de sensibilité au risque, d’autant plus que ces contraintes n’ont pas de lien direct avec le cœur de leur métier. »

Se mettre en conformité RGPD a exigé – et va continuer d’exiger – des investissements. Pour autant, Éric Cavasse l’estime parfaitement justifié : « Nous avons investi dans des outils et de la formation mais nous avons augmenté notre niveau de protection et surtout simplifié notre vision du fonctionnement de l’entreprise. Nous savons désormais qui fait quoi, où, avec quoi, pourquoi et comment. Cela améliore la productivité et la qualité de l’audit interne tout en contribuant au processus d’amélioration continue. »