RGPD : 5 idées reçues… à oublier rapidement

À 30 jours de l’entrée en vigueur du RGPD, les entreprises retardataires essayent de se rassurer, parfois à grand renfort d’idées reçues.

Idée reçue #1 > « La Cnil annonce qu’elle sera pragmatique. Donc, rien ne presse… »

C’est vrai, la Cnil ne compte pas dès le 25 mai envoyer des armadas de contrôleurs pour toquer aux portes des entreprises. Mais ces contrôles vont bel et bien arriver. C’est l’esprit du nouveau règlement général sur la protection des données qui marque un changement de régime. Avec ce règlement, nous passons de l'ère de la déclaration préalable à celle de la responsabilisation des entreprises et du contrôle a posteriori. Il faut donc non seulement avoir engagé des actions de mise en conformité mais être, aussi, en mesure de le démontrer.

Notre conseil ? N’attendez plus, engagez des actions pour identifier les écarts entre l’état actuel de vos traitements et les mesures à prendre pour vous conformer au plus vite au RGPD.

Idée reçue #2 > « Le DPO, c’est pour les grandes entreprises ou les sites e-commerce »

Le RGPD impose un DPO (Digital Protection Officer) dans plusieurs cas de figure. Notamment pour les organismes publics ou encore pour les entreprises qui manipulent des données à caractère personnel à grande échelle et de manière systématique. Mais, au-delà de ces cas, la désignation d’un tel responsable est fortement recommandée. Pour une raison simple : au sein de l’entreprise, le DPO joue le rôle d’un conseiller et d’un chef d’orchestre. À lui d’informer les responsables des traitements de leurs obligations et, plus globalement, de mener des actions de sensibilisation. À lui, surtout, de superviser la conformité de l’entreprise avec les engagements qu’impose le RGPD.

Notre conseil ? Même si vous n’entrez pas dans les cas de figure décrits par le texte, désignez un DPO pour assurer un suivi réel de ce projet à part entière qu’est la conformité au RGPD.

Idée reçue #3 > « Puisque nous avons un DPO, les équipes n’ont plus à se soucier du RGPD »

Comme évoqué précédemment, le rôle du DPO est celui d’un conseiller et d’un chef d’orchestre. Il ne peut à lui seul soutenir l’effort de conformité. Voilà pourquoi figure dans ses missions l’information et même la formation des collaborateurs. Dans une entreprise, chaque personne qui manipule des données à caractère personnel peut potentiellement commettre une erreur. Des responsables commerciaux qui, « pour aller vite », s’échangent des données clients via des comptes email personnels compromis engagent la responsabilité de l’entreprise… Dans la pratique, tous les services (comptabilité, marketing, informatique…) sont concernés et chacun doit revoir (à la hausse) son niveau d’attention dès que des données personnelles sont manipulées. Si l’effort de conformité est coordonné par le DPO, au quotidien, le RGPD est l’affaire de tous.

Notre conseil ? Réunions, brochures, FAQ sur l’intranet… Donnez-vous les moyens de réellement sensibiliser vos collaborateurs au RGPD.

Idée reçue #4 > « Le RGPD, c’est avant tout un problème de juriste »

La lecture des textes du RGPD donne en effet rapidement envie de déléguer le dossier aux seuls juristes... Ce serait une erreur. Car la mise en œuvre du règlement passe justement par une collaboration étroite entre les compétences juridiques, techniques et les métiers.

Prenons le cas d’un projet IoT (Internet of Things). Dans un tel contexte, il revient aux métiers d’expliquer de quelles données ils ont besoin et, surtout, à quelles fins. Les juristes peuvent alors en déduire les engagements qui s’imposent. Des engagements que les experts techniques doivent traduire en mesures concrètes pour réguler par exemple le stockage et la persistance des données. Sans surprise, des allers-retours sont à prévoir entre les différents intervenants pour identifier la solution optimale : celle qui répond aux besoins des métiers et s’avère techniquement réalisable tout en garantissant la conformité. Le sujet dépasse donc le champ d’action des juristes.

Notre conseil ? Inscrivez dans vos processus des échanges multidisciplinaires pour anticiper tous les prérequis du RGPD.

Idée reçue #5 > « Nous avons évalué nos processus donc nous sommes désormais conformes »

En effet, se conformer au RGPD impose de mettre à plat les processus pour réaliser des « Privacy Impact Assessment » (PIA). Il s’agit pour chaque processus d’identifier les risques qui pèsent sur les données à caractère personnel et d’engager les contre-mesures qui sont à la portée de l’entreprise.

Le chiffrement, par exemple, est l’une de ces mesures. Bien entendu, les processus d’une entreprise évoluent au fil du temps – c’est le cas dès que de nouvelles offres ou services sont proposés aux clients. Voilà pourquoi ce travail d’évaluation ne peut jamais être considéré comme clos.

Dans la pratique, l’entreprise doit adopter un mode de conception « Privacy by design », autrement dit, s’organiser pour que chaque processus intègre la conformité. Il s’agit par exemple de veiller à ce que le principe de minimisation soit appliqué. Ce que nous pouvons résumer par: « Ce nouveau processus conduit-il à collecter plus de données qu’il n’est nécessaire pour la finalité du service rendu ? ». Chaque création ou évolution de processus doit conduire à expliciter la finalité d’un éventuel traitement de données. La conformité au RGPD est donc un travail qui s’inscrit dans la durée.

Notre conseil ? Confrontez chaque nouvelle collecte de donnée, dès qu’elle est envisagée, à la finalité réelle du traitement. Un réflexe de base pour rester conforme au RGPD.

Martech

Annonces Google