Le RGPD remet le droit fondamental à la vie privée au centre du monde des affaires. Désormais, les entreprises doivent respecter les données personnelles sous peine de lourdes conséquences. Néanmoins, de nombreuses questions demeurent : qu’est-ce que cela implique exactement ? Quels sont ses principes ? Quelles sont les meilleures façons d’assurer la conformité ?

Le RGPD est aussi une contrainte mais aussi une chance

Les lois antérieures au RGPD ont été adoptées bien avant l’apparition des nouvelles technologies. Les cookies, le cloud et les outils de CRM n’existaient pas. Le RGPD n’est pas un recul pour les entreprises, car c’est un outil de restauration de la confiance dans l’utilisation des nouvelles technologies. La nouvelle réglementation est aussi une aubaine pour l’économie numérique car elle uniformise les protocoles dans l’Union Européenne, ce qui facilite l’expansion géographique des entreprises.

Les principes directeurs du RGPD

1. Il appartient à l’entreprise de pouvoir prouver, à tout moment, que le traitement des données est conforme aux principes du RGPD. La CNIL doit pouvoir en juger par elle-même le cas échéant, et il lui appartient de dire si l’organisation fait un effort sincère pour s’y conformer.

2. Les données personnelles doivent être exactes et tenues à jour ; si une donnée est inexacte, elle doit être modifiée ou supprimée dans des délais raisonnables. Le RGPD impose que « toutes les mesures raisonnables » soient mises en œuvre pour assurer l’exactitude des données.

3. Le traitement des données doit respecter la sécurité et la confidentialité des données personnelles à chaque instant. En cas de violation des données, l’entreprise doit notifier toutes les personnes concernées au moyen d’une procédure appropriée. L’information doit être envoyée dans les 72 heures suivant la prise de connaissance du manquement.

4. Les données doivent être recueillies dans un but légitime. Et seules les données contribuant à cet objectif devront être recueillies. Le fait de collecter des informations dans un autre objectif, non communiqué aux personnes concernées, irait à l’encontre de la notion de consentement posée par le RGPD.

5. Les organisations ne doivent pas conserver les données personnelles plus longtemps qu’il est absolument nécessaire ou en dehors des fins pour lesquelles ils ont été recueillis pour la première fois. La destruction des données doit être sûre et sécurisée.

Les clés pour s’assurer du respect du RGPD

Tout d’abord, il faut comprendre que le consentement éclairé et la légitimité de la collecte des données sont au cœur de la philosophie du RGPD. Le consentement n’est plus supposé, il doit être prouvé ; de même qu’il faut explicitement dire aux personnes pourquoi nous collectons leurs données afin que leur consentement soit éclairé (et donc valide).

Ensuite, un audit interne doit permettre de savoir quelles données se trouvent où, afin de commencer à adapter les procédures de traitement et de stockage des données personnelles.

Une fois cet état des lieux achevé, il faut étudier les pratiques de gouvernance en vigueur : sont-elles déjà conformes au RGPD ? La plupart du temps, la réponse sera non, et il convient de refondre la politique de données de l’entreprise. L’une des choses les plus importantes à vérifier est que les personnes fournissant leurs données personnelles sont bien informées : elles doivent savoir, à chaque étape, pourquoi leurs données sont collectées, et comment elles seront traitées.

Pour les grandes entreprises ou celles traitant des données sensibles, un DPO (Data Protection Officer) devra obligatoirement être nommé. Il s’assurera que les responsables du traitement et les sous-traitants respectent la politique de l’entreprise. Les entreprises n’ayant pas l’obligation légale de nommer un DPO devraient aussi le faire, car avoir un responsable pour ces questions peut éviter beaucoup d’ennuis à l’avenir. Il a aussi pour rôle d’évangéliser et de former ses collègues sur les règles du RGPD et leur mise en œuvre.

___________
Steve Wainwright est Managing Director EMEA chez SumTotal, une société Skillsoft