Les vrais-faux de la mise en conformité au GDPR

Le règlement va renforcer les exigences concernant la sécurité et les activités de traitement des données personnelles. Il s’appliquera de la même manière dans les 28 États membres de l'Union européenne.

Le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR), un des changements les plus importants jamais apportés à la loi sur la protection des données en trois décennies, entrera en vigueur le 25 mai 2018. C’est l’un des sujets phares pour de nombreuses entreprises. Ce règlement va renforcer les exigences concernant la sécurité et les activités de traitement des données personnelles. Il s’appliquera de la même manière dans les 28 États membres dont les régimes de protection des données sont aujourd’hui très disparates. Les entreprises ont eu deux ans pour se mettre en conformité et entrent dans la dernière ligne droite !

Nous n’avons pas fini d’en entendre parler alors que des idées reçues commencent à s’amplifier. Quelles sont les plus répandues ?

N°1 - Les données à caractère personnel sont réparties dans de nombreuses de base de données et systèmes de back-up au sein de l’entreprise. Il sera impossible de précisément les répertorier.

FAUX Inventorier toutes les données au sein d’une grande entreprise peut certes s'avérer difficile, mais vous ne pouvez pas vous y soustraire. Ces données à caractère personnel non utilisées et stockées dans votre entreprise présentent un risque de violations et entrent dans le cadre du GDPR. Le mandataire social engage sa responsabilité pénale en vertu du nouveau règlement. L’entreprise doit donc démontrer qu’elle fait des efforts pour inventorier les données et supprimer celles non utilisées afin de réduire les pénalités en cas d’audit. Au-delà de l’inventaire, il convient de modifier un nombre important de process métiers afin d’y inclure une approche conforme à la norme. Par exemple… savez-vous que l’entreprise devra être capable de supprimer à la demande les informations personnelles contenues dans ses backups et archives ?

N°2 – L’entreprise n’a pas attendu le GDPR pour faire des déclarations à la CNIL sur la masse de données recueillies. Des autorisations lui avaient été données à l'époque, elle peut donc continuer à utiliser ces données.

FAUX – Dans le cadre du GDPR, il faudra recueillir un nouveau consentement explicite des personnes concernées dans le cadre d’un contexte spécifique, pour utiliser ou traiter des données à caractère personnel.

N°3 – Dans le cadre de ses activités Internet ou d’e-newsletter, l’entreprise a toujours utilisé un modèle « Opt-out ». Cela implique une action de l’internaute s’il ne souhaite plus recevoir de communications électroniques. Dans le cas contraire, l’entreprise considère leur accord comme acquis. En tant que pratique standard, elle reste valide.

FAUX – L’opt-in est dorénavant la nouvelle norme dans l'Union européenne (UE), contrairement aux précédentes réglementations, comme celle de la CNIL qui autorisait l’opt-out actif pour une personne physique dans le cadre professionnel. Cela signifie que dorénavant l’entreprise aura besoin de demander l’accord de l’internaute avant de lui adresser des communications électroniques et l’intégrer à une liste de diffusion. De plus, cet accord ne sera valable que dans le contexte décrit.

N°4 – Pour se conformer à la nouvelle norme, l’entreprise n’aura qu’à envoyer à toute sa liste de diffusion un courriel lui demandant un consentement.

FAUX - Faites attention. Cette approche est juste si l’entreprise ne contacte que les personnes ayant déjà donné leur consentement dans un contexte spécifique. Il est impossible d’obtenir un consentement pour tout type d’utilisation. Pour l’utilisateur, il doit être aussi simple de retirer son consentement que de le donner, charge à l’entreprise d’expliquer comment et dans quel contexte elle utilisera ses données ainsi que les options de retrait qu’elle propose. Pour se couvrir, l’entreprise devra s’assurer d’enregistrer les réponses et leur utilisation pour produire des justificatifs en cas d’audit. Il est vivement conseillé aux entreprises de se faire accompagner par un conseiller juridique dans le cadre de cette mise en œuvre.

N°5 – On annonce des amendes vraiment considérables, mais elles ne seront probablement pas appliquées.

FAUX - Le montant des amendes est vraiment considérable de l’ordre de 20 millions d'euros ou 4% du chiffre d'affaires global. Or, si les organismes de réglementation ont fixé ces amendes et qu’elles sont annoncées depuis longtemps, c’est qu’elles comptent bien les mettre en application. Parier sur le laxisme des autorités semble très risqué.

Si vous doutez de vos capacités à être conforme, vous n'êtes pas le seul. C’est le cas de bon nombre d’entreprises françaises comme le confirme la récente étude menée par IDC France : seules 28% des structures interrogées estiment qu'elles le seront sans aucun doute possible tandis qu'à l'opposé, 27% ont la quasi-certitude qu'elles ne pourront pas l'être. Audit, cartographie, choix de nouvelles solutions technologiques, mise en place d’une nouvelle gouvernance spécifique aux initiatives du GPDR…  il est encore temps pour l’entreprise de s’y mettre car quoi qu’il se passe, elle devra être en conformité avec le règlement au plus tard le 25 mai 2018 !