Entreprises : pensez (encore et toujours !) au RGPD

L'entrée en vigueur du RGPD, il y a bientôt trois ans et demi, a placé les entreprises face à disposition réglementaire particulièrement contraignante. Malgré leurs efforts pour s'y conformer, celles-ci peuvent néanmoins se trouver aujourd'hui en difficulté lors des contrôles de la CNIL, car il leur faut veiller à gérer ce sujet en permanence.

Si lorsqu’on évoque le RGPD, votre première réaction consiste à dire « c’est bon, on a donné », il y a fort à parier que vous devriez reconsidérer la question. Et ce même si votre entreprise a consacré du temps et de l’énergie pour se conformer à ce règlement dès son entrée en vigueur, il y a bientôt trois ans et demi.

A cela, deux raisons essentielles. D’une part, l’expérience montre que, bien souvent, personne ne s’est réellement saisi du sujet en interne pour le suivre dans la durée. Et lorsque cette thématique chronophage et complexe échoit au directeur juridique, celui-ci a bien d’autres missions dans son écran radar auxquelles donner la priorité – telle une acquisition structurante ou une levée de fonds, par exemple. D’autre part, il s’avère que les entreprises développant de nouvelles pratiques ou de nouveaux services ont tendance à minimiser les problématiques liées au RGPD qui y sont liées. Ce qui les met, de facto, en position délicate si elles venaient à faire l’objet d’un contrôle.

Car c’est là tout l’enjeu : désormais, la CNIL se place dans une pure logique d’accountability, attendant qu’on lui démontre avoir mis en œuvre mécanismes et procédures internes pour respecter les règles relatives à la protection des données. Et elle multiplie les contrôles en ligne et in situ, quel que soit le secteur d’activité de l’entreprise… ou même son envergure, puisqu’ont été récemment ciblés des start-up et des médecins libéraux, pour ne citer qu’eux.

Les procédures internes évoluent... la législation aussi !

Que faire, dès lors ? Avant tout, s’assurer que les recommandations formulées lors des premières analyses ont bien été mises en œuvre et, également, qu’elles ont été prises en compte lorsque les pratiques et les procédures internes ont évolué. Ce principe de base trouve de multiples applications concrètes, au premier rang desquelles la gestion de la durée de conservation des données – simple à mettre en œuvre, mais pas toujours correctement structurée… Même impératif concernant la sécurité des données, en assurant un suivi des failles sur données – grâce à une base de données correctement cryptée, notamment lors de son envoi à des sous-traitants.

C’est notamment sur cette question des sous-traitants que le bât blesse, car il faut la considérer de façon extensive. Ainsi, un hébergeur ou un éditeur de logiciel de paie doit être considéré comme un sous-traitant, pour lesquels il faudra faire preuve de la plus grande vigilance quant aux données transférées… en particulier s’il est localisé en dehors de l’Union européenne.

Et si tout cela vous semble sous contrôle, ayez néanmoins à l’esprit que la législation évolue. Qu’il s’agisse de l’arrêt dit Schrems II, relatif au transfert de données personnelles de l’Union européenne vers les Etats-Unis, ou des clauses contractuelles types, dont la Commission européenne a donné une nouvelle version en juin 2021. Alors, êtes-vous prêts pour le RGPD 2.0 ?