Le RGPD arrive à grand pas et les entreprises doivent s’y préparer. Pour beaucoup d’entre elles, l’échéance du 25 mai 2018 annonce un ultimatum effrayant. Depuis plusieurs mois, les discours alarmistes pullulent et un grand nombre de sociétés jouent sur les peurs, en proposant des audits ou autres prestations onéreuses, qui ne pourront finalement pas garantir une mise en conformité à 100%. Or, bien qu’il soit contraignant, le RGPD n’est pas insurmontable pour les sociétés. Il s’agit certes d’une épreuve, mais qui, bien menée, leur permettra de mettre en place une politique de gestion qualitative de leurs données. Au contraire, recourir à un prestataire externe dans l’espoir de pouvoir résoudre tous les prétendus maux du nouveau règlement sur la protection des données ne serait d’aucune aide, car chaque entreprise a ses propres spécificités de gestion des données et devra mettre en œuvre des solutions techniques adaptées pour être en conformité. Une PME diffère d’une ETI et d’une grande entreprise et chaque secteur d’activité nécessite également une approche ciblée dans la définition des besoins de traitement des données.
Le pragmatisme : maître-mot pour cette première étape de mise en conformité de le RGPD
Avant de céder à la panique et de prendre des décisions à la hâte, il est décisif de procéder par étape avec une première phase primordiale : établir un bilan interne à l’entreprise. Ceci aidera dans l’identification des opérations à effectuer pour se mettre en conformité. Cette phase permettra la rédaction d’un cahier des charges. Car pour savoir ce que requiert cette mise en conformité, autant savoir précisément ce qui est demandé par le parlement européen. Trois principes majeurs sont édifiés. Et ainsi, il sera plus facile de savoir ce qui doit être changé et mis en place dans chaque entreprise. Ces trois objectifs autour du RGPD sont les suivants :
– Le renforcement des droits des personnes, avec la création d’un droit à la portabilité des données personnelles, sanctuarisation du droit à l’oubli, une meilleure protection des mineurs, une gestion de consentements plus stricte … (Principe de transparence)
– La responsabilisation des acteurs traitant des données, impliquant également les sous-traitants, sur leur mise en conformité au RGPD dès la conception d’un service (Principe de responsabilité)
– La nécessite de mettre en œuvre des mesures pour s’assurer du respect de la protection des données personnelles en limitant la quantité de données traitée dès la conception d’un produit ou service (principe de « Privacy by design »)
Ces trois points édictés par la commission européenne fixent avant tout un cadre pour chaque entreprise. Ainsi, il sera plus facile de voir comment une société fonctionne pour savoir ce qui doit être changé en son sein. L’un des points centraux fixé est la collecte du consentement et la gestion des données personnelles (état civil, coordonnées, informations comportementales…) ou sensibles (religion, appartenance syndicale, données biométriques…) : mise à jour, transmission, durée de conservation…
Cela permettra, en plus d’être conforme au règlement, de (re)qualifier une base de données. Une entreprise saura, grâce à cette campagne de qualification de consentements, ce que chaque contact souhaite que l’on fasse avec ses informations (envois de newsletters, propositions de nouvelles offres similaires etc…) et comment il souhaite qu’elles soient gérées.
Cela ne veut donc pas dire qu’une règle arbitraire pour tous va entrer en vigueur. Les objectifs sont à appliquer selon un modèle en particulier. Dès lors, est-il nécessaire pour toutes les entreprises d’engager ou de nommer un Délégué à la Protection des données (Data Protection Officer) ? Quelles données seront à nettoyer et lesquelles doivent être gardées ? Comment assurer la transition vers une gestion des données conforme au RGPD ? Et surtout : une solution est-elle d’emblée recommandée ? La question de savoir si les talents internes à l’entreprises peuvent suffire lors de cette première étape se pose également.
Mise en place d’un plan d’actions de conformité
Ce que sous-entend également le RGPD, c’est l’introduction concrète du concept de Privacy by Design, qui vise à mettre en place des mesures proactives et préventives dans la gestion des données personnelles et à une protection implicite et automatique de ces dites données.
L’intégration de la notion de vie privée dans la conception des systèmes placée au cœur des pratiques doit mener à une protection intégrale, une sécurité de bout en bout, et ce durant toute la durée de la conservation des données. Le respect de la vie privée des utilisateurs et les intérêts des particuliers restent les objectifs principaux de ce nouveau règlement. Car à travers la mise en place de ce concept de Privacy by Design, le défi à relever est désormais d’ordre technique et organisationnel. Les entreprises seraient alors engagées à ne plus collecter que les informations strictement nécessaires et à informer chaque contact lorsqu’elles souhaitent effectuer un traitement sur celles-ci. Ce qui en découlerait, c’est une connaissance plus pointue des clients. L’utilisation des données n’en seraient donc que plus qualitative et plus respectable des droits de chacun, car l’intégralité de ces données utilisées le serait par un consentement informé. Ces éléments de responsabilité (à travers la mise en œuvre de mécanismes et de procédures internes qui permettent de démontrer le respect des règles relatives à la protection des données) visent à deux choses primordiales qui sont implicites avec le RGPD : faire profiter d’une bonne image aux entreprises qui respectent la loi, et leur permettre de requalifier leurs bases de données pour en tirer des profits plus qualitatifs car mieux organisées.
Si certaines parties de le RGPD sont claires notamment dans la mise en avant des droits des personnes et le traitement de leurs données personnelles, il subsiste encore des règles qui restent soumises à l’interprétation de chacun. Sur le volet de la durée de conservation des données, à partir de quand une donnée devient-elle inutile ? Et jusqu’où situe-t-on l’intérêt légitime pour le traitement d’une donnée ? Cela revient une nouvelle fois à pondérer les discours alarmistes car ces réponses sont multiples. Elles sont à individualiser selon le modèle d’entreprises dont nous parlons.
Après le constat, place à l’action
Le mise en conformité au RGPD est contraignante mais elle n’est pas bloquante pour les entreprises. La loi va certainement être complétée après la mise en application du 25 mai 2018 (des compléments ont d’ailleurs déjà été publiés par la commission Européenne), même si les prochaines échéances ne sont pas encore connues. Mais pour être en règle et pouvoir continuer son activité tout en ayant une bonne image auprès de ses clients et de ses partenaires, il va falloir s’assurer sérieusement que le 25 mai 2018, tout soit mis en place selon les trois objectifs fixés.
C’est pourquoi une fois le constat effectué et la « to do list » engagée, peut alors se poser le choix d’une solution adaptée pour l’entreprise.
La bonne solution est celle qui saura s’adapter aux règles de gestion de chaque organisation, tout en leur assurant un cadre commun et éprouvé pour automatiser au maximum les formalités imposées par le règlement. La gestion des consentements, l’édition du registre des traitements, la portabilité ou encore le droit de rectification sont autant de points réglementaires qui peuvent s’avérer chronophages au quotidien et qu’il est opportun d’automatiser pour libérer les organisations et leur offrir plus de sérénité.
___________
Quentin Villette est Responsable RGPD chez Eudonet