A moins de 100 jours de l’entrée en vigueur de cette nouvelle réglementation, quells sont les 10 points clés à retenir dans la mise en œuvre de la RGPD ?

1. Des initiatives pour aider les entreprises à mieux apprivoiser le RGPD

Il y a encore peu de temps, le RGPD était considéré par les entreprises comme difficile à comprendre, compliqué à mettre en œuvre ou encore pour certaines anxiogène. Depuis quelques mois, beaucoup d’informations ont été publiées sur le sujet d’autant plus que le texte continue d’être enrichi. Ainsi en février, l’Assemblée Nationale Française a adopté la dernière version du texte du projet de loi. Les autorités de protection de données comme la CNIL publient quant à elles des d’informations supplémentaires permettant de clarifier certaines incohérences, avec l’apparition d’outils comme le DPIA (Data Protection Impact Assessment) de la CNIL ou encore les guides de l’ICO. Les entreprises commencent à prendre conscience que le RGPD permet d’améliorer la confiance des consommateurs dans les marques.

2. Une responsabilisation accrue des entreprises

Les entreprises étaient déjà au fait, le RGPD renforcera considérablement les droits des personnes à disposer de leurs données (droit d’accès, droit à l’oubli, droit à la portabilité…). Cependant, elles ne semblent toujours pas prêtes à passer à l’action puisque 64%* d’entre elles déclarent n’avoir aucune idée du nombre de requêtes qu’elles recevront de leurs clients, prospects ou employés alors que 82% des consommateurs européens estiment qu’ils tireront volontiers parti de leurs nouveaux droits.

3. L’importance de la gouvernance

Les entreprises doivent se conformer dans les délais au RGPD en mettant en place une véritable politique de gouvernance de leurs données personnelles, sous peine de s’exposer à de sévères sanctions administratives. Dans certains cas, la réglementation oblige même les organismes à désigner un Data Protection Officer (ou Délégué à la Protection des Données). Depuis quelques mois, des efforts ont été réalisés dans ce sens mais ce n’est pas le cas dans toutes les entreprises. En effet, « 80 000 entreprises et organismes publics vont devoir se doter d’un DPO contre seulement 18 000 aujourd’hui » comme indiquait Isabelle Falque-Pierrotin, présidente de la CNIL et du G29 dans un discours devant les membres de l’AFCDP le 24 janvier dernier.

4. Un accompagnement vers une mise en conformité

Depuis l’annonce de la nouvelle réglementation, les autorités de contrôle compétentes, dont la CNIL en France, accompagnent les entreprises dans leur mise en conformité. Ses objectifs principaux sont entre autres de les aider à respecter la nouvelle législation et à documenter leur conformité. Aujourd’hui encore, elles continuent de développer et de proposer des outils pour aider les entreprises dans leur mise en conformité comme les guides sur la sécurité des données personnelles propres à chaque état membre européen.

5. Des certifications pour être conforme au règlement

Alors que lors l’AFNOR indiquait dernièrement plancher sur le sujet, l’organisme propose désormais une certification AFAQ. Celle-ci a pour but d’accompagner les organisations à garantir le respect des grands principes de responsabilité pour la protection des données personnelles et permet de démontrer les moyens organisationnels et techniques mis en place pour atteindre l’objectif de conformité au RGPD. Elle sera une preuve supplémentaire de la volonté des entreprises de se conformer au nouveau règlement. En novembre dernier l’Association française de normalisation indiquait, « la certification sera un outil pour permettre aux entreprises de prouver qu’elles ont essayé de mettre en place ce qui était nécessaire pour être conforme au règlement. »

6. Fiabilité et gestion des sous-traitants

Avec le RGPD, il sera primordial pour les entreprises de bien choisir leurs sous-traitants. Travailler avec un prestataire qui n’est pas conforme au RGPD pourra générer pour l’entreprise une lourde amende. Alors que la date d’entrée en application du règlement se rapproche, les entreprises doivent évaluer le niveau de risque de leurs prestataires, et, si ces derniers ne répondent pas aux exigences du RGPD, ils devront changer de fournisseur. Collaborer avec un fournisseur non conforme mettrait en péril leur réputation et les exposerait à d’importants risques financiers et juridiques. Le choix et la fiabilité des sous-traitants sont donc deux problématiques essentielles pour les entreprises, ces derniers pouvant héberger des quantités importantes de données pour leurs clients.

7. Collecte de données

Outre les sous-traitants, le RGPD est aussi l’occasion de faire le point sur la collecte et le type de données demandées aux utilisateurs. Globalement, les entreprises vont dans le bon sens. D’après une étude réalisée par Mailjet auprès de plus de 4 000 répondants, 91%* des start-ups, tous domaines d’activité confondus, indiquent collecter les données personnelles de leurs clients et 63% du panel reconnaît le besoin de respecter la minimisation des données (seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées) et le chiffrage dans sa collecte. Si ces chiffres sont positifs, l’étude indique toutefois que deux tiers des données ne sont toujours pas protégées.

8. Les sanctions liées à la non-conformité

Guillaume Desgens-Pasanau, magistrat et ancien directeur juridique de la CNIL, affirmait récemment que « la bonne foi et la documentation des efforts mis en place pour être conforme à la nouvelle réglementation seront pris en compte dans les sanctions ». Il indiquait également que « ces dernières seront seulement imposées aux entreprises qui continueront délibérément à user de pratiques malhonnêtes et frauduleuses. » Concernant le montant des amendes, il n’existe aucune évolution notable puisqu’il reste toujours aussi élevé 20 millions ou 4% du chiffre d’affaires global.

9. Risques et assurance

A l’heure actuelle, il n’y a toujours aucune assurance spécifique au RGPD. Cependant, les risques liés à la non-conformité et à la responsabilité civile seront couverts par d’autres produits tels que les assurances contre les cyber-risques, lesquels peuvent prendre en compte toutes les obligations liées au règlement. Mais de nombreux acteurs estiment aujourd’hui que l’assurance doit profondément se transformer pour évoluer du dédommagement financier vers des services personnalisés. La valeur de ces services dépendra de l’accessibilité des opérateurs aux données personnelles des individus, ils seront mis en œuvre dans un monde numérique dont les règles sont en cours de construction. En attendant, les assureurs ne rembourseront donc pas les amendes liées à la non-conformité. Ils pourront en revanche couvrir tout ce qui est relatif aux frais d’enquête et la communication envers les personnes concernées.

10.Compétitivité des entreprises européennes après l’entrée en application

Le RGPD mis en place par l’Union Européenne s’applique à toutes les entreprises, européennes ou non, traitant des données de consommateurs européens. La compétitivité ne sera donc pas impactée, les entreprises prennent aujourd’hui conscience que la conformité des entreprises au règlement pourra même devenir un avantage compétitif pour attirer de nouveaux clients et investisseurs. En effet, selon une étude, 84% des Français seraient prêts à résilier un abonnement à un service d’une entreprise qui ne leur inspirerait pas confiance, une opportunité pour les entreprises conformes au RGPD de capter de nouveaux consommateurs et de les garder comme clients fidèles. Le RGPD est aussi l’opportunité de simplifier la tâche des entreprises ayant une présence internationale en harmonisant la législation dans 28 pays.

 

__________
Alexis Renard est PDG de Mailjet.