Le RGPD est devenu une réalité le 25 mai. Malgré cela, différentes études montrent que de nombreuses entreprises ne sont pas prêtes et que la complexité de la nouvelle législation les effraie.

Toutes les entreprises qui traitent des données relatives à des personnes résidant dans l’Union Européennes sont concernées, où que l’entreprise (ou son prestataire externe, comme un hébergeur cloud) se trouve. Le RGPD s’applique ainsi au-delà des frontières de l’Europe, et le manquement à ses règles peut couter très cher : soit jusqu’à 4% du CA annuel mondial, soit jusqu’à 20 millions d’euros, le chiffre le plus élevé étant retenu.

Le RGPD contient des règles claires et des principes plus évasifs. Parmi ces règles bien définies, la clarté du consentement est reine : le langage utilisé pour demander le consentement doit être facile à comprendre, sans jargon technique, et il doit être aussi aisé de retirer son consentement que de le donner. Les propriétaires des données doivent pouvoir savoir comment ces données sont traitées, où et dans quel but sur simple demande. Le cas échéant, ils doivent pouvoir demander la suppression définitive de ces données.

Des principes plus que des obligations clairement énoncées

D’autres obligations juridiques sont moins claires, et reposent plus sur des principes à respecter que sur des critères explicites. Ainsi, la protection des données doit être pensée dès la création de l’architecture du système de traitement des données. C’est la façon la plus simple de s’assurer de respecter le principe de protection des données. Par exemple, on peut restreindre la conservation des données aux données nécessaires pour remplir un objectif prédéfini, et restreindre l’accès aux données que l’on garde. A défaut, la protection des données doit être intégrée à l’architecture existante, ce qui peut se révéler plus complexe.

Ce travail peut sembler irréalisable en un temps aussi court, mais le 25 mai n’est pas une date butoir : selon les mots de la présidente de la CNIL, Isabelle Falque-Pierroti, « il ne faut pas voir le 25 mai comme une date couperet », et la CNIL fera preuve de bienveillance envers les entreprises… qui ont commencé leur processus de mise en conformité.

Superviser la transition vers le respect du RGPD, puis maintenir de bonnes pratiques, est une tâche complexe qui justifie l’apparition ou le changement du rôle du Data Protection Officer (DPO). La nomination d’un DPO devient même obligatoire pour les entreprises qui traitent les données d’un grand nombre de personnes ou qui traitent certains types de données, dites sensibles, notamment liées à la justice ou à la santé.

Un besoin de cohérence entre les différents départements de l’entreprise

Le DPO doit être vu comme un chef d’orchestre, le seul capable de faire jouer les musiciens en harmonie, mais dont le savoir-faire ne peut pallier les lacunes des artistes. De même que les musiciens doivent savoir jouer de leurs instruments, les équipes doivent avoir connaissance des dispositions et principes du RGPD qu’elles doivent respecter au jour le jour.

Pour cela, l’ensemble des collaborateurs confrontés au traitement de données personnelles (RH, DSI, commerciaux, etc) doit être formé au RGPD. Les formations doivent être personnalisées – par exemple certains collaborateurs utilisent des données sensibles et doivent connaitre les conditions de traitement spécifiques, d’autre non – et accessibles à tout moment, en présentiel ou à distance pour répondre aux besoins des collaborateurs qui dépendent de chaque cas de figure.

La complexité du RGPD est ce qui frappe le plus, mais une bonne répartition des tâches couplée aux formations nécessaires permet aux entreprises de devenir et de rester conformes. Une symphonie est trop complexe pour être appréhendée en une seule audition, mais est limpide pour chacun des musiciens parce qu’il dispose des connaissances nécessaires pour jouer sa part. De la même façon, fournir aux équipes les connaissances nécessaires leur permet de participer au respect du RGPD par l’entreprise malgré sa complexité.

 

__________
Stéphane de Jotemps est VP Sales France, Vodeclic – une société Skillsoft