À moins de n’avoir lu ni le journal ni aucun article sur internet depuis plusieurs mois, il est difficile d’échapper aux contenus sur le Règlement général sur la protection des données, communément appelée le RGPD. La fin du mois de mai a en effet marqué le début d’une nouvelle ère de conformité pour tous les pays Européens, et le RGPD va continuer de faire parler de lui, notamment lorsque tomberont les premières sanctions.

Même si la CNIL a indiqué qu’elle se montrerait indulgente envers les entreprises qui auront engagé des efforts adéquats et feront preuve de « bonne foi », les premiers cas de non-conformité constatés après l’entrée en vigueur du RGPD prendront une importance toute particulière puisqu’ils influenceront la manière dont seront traités les suivants. Les entreprises du monde entier s’observeront pour voir qui enfreindra la loi le premier, tenter de savoir comment éviter de commettre les mêmes erreurs et ainsi échapper aux pénalités applicables. Il faut donc s’attendre à un flot continu d’articles sur le RGPD dans les prochains mois, à mesure qu’affluent conseils et bonnes pratiques.

Et ce n’est pas forcément une mauvaise chose. Nombreux sont ceux qui pensent que le nouveau règlement devrait être considéré comme le point de départ d’une approche plus complète en matière de gestion des données personnelles. Pour cette raison, il est important de ne pas repousser les mesures de mise en conformité à la dernière minute mais de les traiter avec le même sérieux que toute autre décision stratégique majeure comme les initiatives de transformation digitale.

Pour ce faire (et éviter de se faire attraper par les régulateurs), les entreprises doivent protéger leurs pratiques opérationnelles en adoptant une approche du respect de la vie privée dès le stade de conception (« privacy by design »), en suivant ces différents conseils.

Maintenir la transparence et la sécurité

En raison de plusieurs cas très médiatisés de fuites de données ces dernières années, les utilisateurs sont désormais beaucoup plus informés et soucieux de la sécurité de leurs données. Dans le cadre du RGPD, la collecte de données ne pourra se faire qu’avec le consentement explicite des utilisateurs.

De la même manière, chacun a désormais la possibilité d’exercer un certain nombre de droits concernant ses données personnelles et peut notamment imposer aux entreprises des limites sur leur utilisation, leur collecte et leur divulgation. Les gestionnaires de données devront être en mesure de s’acquitter de ces obligations, pour des raisons de conformité mais aussi, plus largement, par souci de service client et de réputation de marque.

Face à cela, les entreprises doivent mettre en place des processus et ressources adaptés à cet important changement, et rester transparentes quant à leurs intentions. Il faut également trouver le bon équilibre entre confidentialité et sécurité, pour s’assurer que les dispositions du RGPD ne viennent pas mettre en danger les normes de sécurité. Enfin, il faut garder un œil sur la sécurité, la disponibilité des données, mais aussi leur confidentialité. Il n’est pas impossible que la difficulté à maintenir l’équilibre délicat entre ces éléments soit à l’origine des premières sanctions en lien avec le RGPD.

La sécurité de bout en bout

L’un des premiers conseils qu’un délégué à la protection des données ou un expert du RGPD pourra proposer sera de consacrer suffisamment de temps et d’efforts à l’élaboration d’une cartographie complète des données, permettant de voir en un coup d’œil les points d’entrée des données dans l’entreprise, la manière dont elles sont collectées et le type d’infrastructure et de solution de stockage au sein desquelles elles existent.

À l’heure qu’il est, les entreprises devraient déjà toutes avoir effectué cette démarche, et conserver une approche proactive de la gestion, de la disponibilité et de la sécurité des données.

En pratique, la mise en place de ces étapes variera d’une entreprise à une autre. Néanmoins, quelle que soit leur taille ou leur structure, les entreprises devront toutes adopter un plan continu de surveillance et de protection des données, et notamment des stratégies de disponibilité et de sauvegarde en cas de fuite de données. Ces plans, qui doivent rester suffisamment souples pour tenir compte de l’évolution constante du paysage des données, nécessitent la participation de tous les secteurs de l’entreprise, et non pas uniquement des équipes informatiques.

La nouvelle ère du RGPD

Le prix à payer en cas de non-conformité est élevé. Les infractions graves peuvent donner lieu à des sanctions allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel (le montant retenu étant le plus élevé). Mais la question demeure : sur qui et sur quoi se portera l’attention des régulateurs ? Se montreront-ils indulgents ou chercheront-ils à faire des exemples des premiers à enfreindre la loi ?

Seul le temps le dira. Mais il est possible d’imaginer quels types d’entreprises se feront épingler les premières par les régulateurs. Quoi qu’il arrive, pour se protéger, les entreprises doivent veiller à bien considérer le RGPD comme un projet sur le long terme plutôt qu’un événement ponctuel

____________
Patrick Rohrbasser est Regional VP France et Afrique du Nord chez Veeam Software