RGPD, il est plus que temps de se mettre en ordre de bataille !


RGPD, il est plus que temps de se mettre en ordre de bataille ! ORSYS

Par la Rédaction ORSYS

La mise en place du règlement européen sur la protection des données personnelles (RGPD) entre dans sa dernière ligne droite.

 

Il reste maintenant deux mois avant l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD). Un délai court au regard de l’ampleur du chantier à relever mais aussi de l’état d’avancement des entreprises.

Selon une étude d’IDC France, réalisée pour Syntec Numérique, le syndicat professionnel des prestataires du numérique, 42 % des sociétés françaises déclarent « prendre tout juste conscience » du sujet. Seules 9 % d’entre elles considèrent être en conformité avec le nouveau règlement et la moitié d’entre elles assurent qu’elles le seront d’ici fin 2017 ou en 2018.

Pour partie, les entreprises vont se reposer sur leurs fournisseurs. Le RGPD instaurant un régime de coresponsabilité entre le responsable du traitement et ses sous-traitants. Toujours selon IDC/Syntec Numérique, la mise en conformité représentera 670 millions d’euros de dépenses en logiciels et services en 2017. Et la facture montera à près d’un milliard en 2018.

99 articles et des changements en profondeur

Pour autant, l’entreprise ne peut se dédouaner des exigences qu’impose le nouveau texte. Si le RGPD ne comprend que 99 articles et une centaine de pages – l’Association française des correspondants à la protection des données à caractère personnel (AFCDP) en propose une version annotée et commentée sur son site –, il introduit de profonds changements juridiques, techniques et organisationnels.

Le RGPD change tout d’abord l’approche de la « data privacy » en jouant sur la notion d’auto-responsabilité (accountability). Dispensée des formations préalables à la CNIL, l’entreprise doit, en retour, démontrer à tout moment qu’elle respecte le cadre réglementaire.

Le respect de la vie privée doit être pris en compte dès le début d’un projet faisant appel à des données personnelles (privacy by design). Les dispositifs qui assurent la sécurisation des données (chiffrement, anonymisation, pseudonymisation) sont activés par défaut (privacy by default).

Comment se préparer ?

Data Protection Officer (DPO)

Pour se préparer au RGPD, la CNIL conseille de procéder en six étapes. La première d’entre elles porte sur la nomination d’un Data Protection Officer (DPO) qui sera le chef d’orchestre du projet de mise en conformité au RGPD puis le garant de sa bonne application. Il s’agit ensuite de cartographier les traitements présentant des risques quant à la confidentialité des données personnelles.

Cette cartographie va alimenter le registre des traitements, le document clé du RGPD. Tenu à jour par le DPO, il mentionnera la finalité de chaque traitement (prospection commerciale, gestion RH…), la typologie des personnes concernées (salariés, clients…) et le délai de conservation des données.

Sur la base de ce registre, il faut, selon la CNIL, prioriser les actions à mener. De l’aveu même de son secrétaire général, le 25 mai 2018 ne doit pas être vécu comme une date couperet (source ZDNet). A cette échéance, les entreprises devront surtout démontrer qu’elles se sont engagées dans la bonne dynamique.

Fini les cases pré-cochées, le responsable de traitement doit, tout d’abord, recueillir le consentement explicite (opt-in) des individus fichés. Il doit aussi les informer sur les différents droits que le RGPD leur confère (droit d’accès et de rectification, retrait du consentement, droit à la portabilité des données, doit d’opposition au profilage)… Ce qui suppose de revoir la politique de confidentialité en ce sens.

L’entreprise doit s’organiser en interne pour rendre possible l’exercice de ces droits. Elle doit conserver les preuves de consentement qui pourront être demandées par l’autorité de contrôle. Et doit également supprimer automatiquement les données au-delà du délai de conservation fixé. Dans un document très complet, le Cigref, l’AFAI et Tech In France ont répertorié les mesures à prendre côté systèmes d’information.

Ne pas oublier les sous-traitants et les collaborateurs

Le même niveau d’exigence est attendu du côté de la sous-traitance. L’entreprise passera en revue les contrats de ses prestataires et introduira des clauses contractuelles formalisant leurs nouvelles obligations. La CNIL a publié un guide spécifiquement dédié aux sous-traitants.

Tous les process organisationnels et les dispositifs techniques ne serviront à rien si les collaborateurs ne sont pas sensibilisés aux enjeux du RGPD. Sous le radar du DSI ou du DPO, un assistant marketing peut créer un fichier de données nominatives sous Excel, un chargé de recrutement constituer une CVthèque à partir de profils sur les réseaux sociaux professionnels, un commercial faire des commentaires peu amènes sur des prospects dans l’outil de CRM.

Il convient donc de mener des actions de formation auprès des populations les plus amenées à manipuler des données sensibles. Elles seront complétées par une réactualisation de la charte utilisateurs rappelant les droits et devoirs des salariés dans leur utilisation des outils numériques.

 

Alors, formez-vous !

Les enjeux juridiques de la révolution digitale (Big Data, Cloud, Mobilité, BYOD…)

Maîtriser la règlementation générale sur la protection des données

Data Protection Officer (DPO), certification

Management du SI, risques juridiques et responsabilités

Actualité juridique RH : les dernières réformes

DPO : rôle, missions et obligations du délégué à la protection des données

RGPD, sensibilisation à la nouvelle règlementation sur la protection des données

Share

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *