Entrée en application du RGPD : le jour d'après

Le RGPD, s’est invité à l’ordre du jour d’un grand nombre de comités de direction d’entreprises privées et d’organismes publics de toutes tailles. Tout le monde en parle, néanmoins beaucoup n’ont pas encore initié la moindre action dans le cadre de leur mise en conformité au RGPD.

Depuis le 25 mai 2018, le RGPD est en application. Et bien des organisations ne sont pas prêtes. Néanmoins il n’est jamais trop tard pour initier une démarche responsable.

La prise de conscience actuelle repose malheureusement uniquement sur l’épée de Damoclès que représentent les nouvelles sanctions. Encore trop d’acteurs considèrent ce règlement comme une nouvelle contrainte. Cette analyse est le fruit du déni des responsabilités qui leur incombaient déjà depuis quarante ans. Devons-nous vraiment rappeler que la loi "Informatique et Libertés", l’un des textes fondateurs du sujet, date du 6 janvier 1978 ?

En effet, si ce règlement européen introduit des nouveaux principes, la majeure partie de son contenu était déjà présente dans notre loi relative aux données personnelles.

Loin de n’apporter que de nouvelles contraintes,le RGPD est une vraie opportunité. Il vise à harmoniser le cadre juridique européen et possède un champ d’application planétaire. Il rééquilibre les situations juridiques des responsables des traitements et des sous-traitants qui voient leurs obligations "égalisées" et leur responsabilité susceptible d’être conjointement engagée. Il ouvre la porte à l’autodétermination informationnelle par le biais du renforcement des droits des personnes concernées. Il implique une rationalisation du système d’information et impose, dans certains cas, une évolution de ce dernier. Il souligne le fait que la protection des données est un sujet au cœur de la gouvernance de l’information et de l’urbanisation du système d’information.

Alors que de nombreux opportunistes s’improvisent sur ce marché, et que les "apprentis-experts RGPD" fleurissent sur le web, le musée des horreurs s’enrichit chaque jour avec des articles contenant une myriade d’approximations.

Passionnés par l’approche multidisciplinaire de la protection des données à caractère personnel, nous apportons notre expertise sur des aspects aussi bien techniques et juridiques avec une vision projet. Notre démarche s'appuie également sur Adequacy Corporate, une solution de management de protection des données développée par notre équipe R&D.

Loin de n’être qu’un sujet pour les juristes ou pour les geeks, nous nous devons de rappeler qu’un plan de mise en conformité à la hauteur des enjeux doit traiter un ensemble de points et mobiliser l’ensemble des acteurs de l’entreprise.

Au vu du nombre de plans de mise en conformité à notre actif, nous sommes convaincus qu’ils doivent s’inscrire dans une démarche globale et transverse afin d'être intégrés aux différents processus métiers. 

Sur le plan humain, le prérequis à la conformité est le développement d'une culture "Privacy" chez les salariés. Si une entreprise ou un organisme souhaitent s’inscrire dans une démarche responsable et durable, il est impératif que l'ensemble de son personnel à tous les niveaux hiérarchiques soit mobilisé. Lorsque l'on parle de protection de données à caractère personnel, chacun a un rôle à jouer, les responsabilités doivent être expliquées.

La sensibilisation des décideurs est indispensable pour assurer unsponsoring interne, la cartographie des traitements, une revue de la politique de confidentialité, la garantie de l’exercice des droits des personnes... Il faut également améliorer la gestion du consentement en place, vérifier l’ensemble des bases juridiques sur lesquelles reposent les traitements, assurer le suivi des violations de données que nous ne souhaitons à personne.

Ce n’est pas tout : n’oubliez pas d’appréhender les études d’impact sur la vie privée, d’intégrer le concept de Privacy by Design au sein du cycle de vie des projets, de définir un schéma organisationnel de gouvernance "Informatique et Libertés" et d’effectuer une revue de l’ensemble des contrats avec les sous-traitants qui traitent des données à caractère personnel.

Et comme dirait Morpheus dans Matrix, "Choisissez la pilule bleue et tout s'arrête, après vous pourrez faire de beaux rêves et penser ce que vous voulez, choisissez la pilule rouge, vous restez au pays des merveilles et nous descendrons avec le lapin blanc au fond du gouffre. N'oubliez pas, nous ne vous offrons que la vérité, rien de plus".