Dirigeants, il n'est pas trop tard se préparer au RGPD
Alors que les secteurs public et privé ont eu deux ans pour se préparer à l'entrée en vigueur du RGPD, de nombreuses organisations sont encore en retard pour mettre en oeuvre cette nouvelle réglementation. Pourtant, il est encore temps de s'y conformer.
Tic-tac. Le 25 mai est arrivé. Les entreprises et les organisations se démènent pour se préparer à la mise en œuvre du Règlement Général sur la Protection des Données (RGPD). Cette norme sismique affecte à peu près toutes les organisations qui traitent des données sur les européens. Avec des sanctions pour non-conformité pouvant atteindre des millions voire des milliards d'euros, personne ne veut entrer dans l'histoire comme premier à ressentir la colère du RGPD. De plus, compte tenu de la sensibilisation accrue à la protection des données et de la vie privée à la suite du scandale Facebook et Cambridge Analytica, la détérioration de l'image de marque pourrait donner l'impression que les pénalités sont faibles.
Les agences de protection des données à travers l'Europe se plaignent peut-être de ne pas avoir les ressources nécessaires pour contrôler la nouvelle réglementation, mais le RGPD est en train de se mettre en place. Il n'y a pas d'échappatoire.
Vous n’êtes pas encore prêt pour le RGPD ? Ne paniquez pas. La conformité au RGPD est un travail en cours. Devenir pleinement conforme à toutes les obligations qui s'appliquent à presque tous les processus organisationnels à travers les différents services et zones géographiques est un défi considérable. Tant que les entreprises peuvent démontrer une approche sérieuse de la mise en œuvre du RGPD, les régulateurs ont déclaré publiquement qu'ils laisseront une certaine marge de manœuvre pour s'adapter au nouveau cadre.
Alors, que faut-il exactement pour être prêt pour le RGPD ?
Commencez par savoir quelles données vous avez, où elles sont stockées et avec qui elles sont partagées. Concevoir et mettre en œuvre un plan de conservation des données. Faire mieux avec moins. Ne recueillez pas de données dont vous n'avez pas réellement besoin. Et ne conservez pas les données à moins qu'elles ne soient absolument nécessaires à des fins commerciales légitimes.
Vous devez établir et mettre à jour les déclarations et les politiques de protection des données. Le RGPD exige qu'une longue liste d'informations soit divulguée aux consommateurs et aux employés. Assurez-vous que ces publications sont à la fois concises et complètes afin de ne pas dénaturer la validité du consentement des consommateurs.
Toutes les obligations du RGPD ne s'appliquent pas à toutes les entreprises ou organisations, et parfois même pas de la même manière. La norme reconnaît la différence entre une atteinte à la protection des données portant uniquement sur les noms et les titres des personnes et une fuite de données bancaires. Pour les activités à haut risque, des évaluations d'impact sur la protection des données sont nécessaires. Cela signifie qu'il faut déterminer, documenter et parfois signaler la probabilité et la gravité des risques d'atteinte à la vie privée pour les personnes ainsi que les mesures d'atténuation proposées.
Le RGPD exige également, pour de nombreuses entreprises, la nomination d'un délégué à la protection des données ou data protection officer (DPO) et, pour les organisations n'ayant pas de siège dans l'UE, un représentant européen. Les estimations varient, mais les recherches de l'IAPP montrent qu'au moins 75 000 postes de DPD seront créés. Ce ne sera pas un rôle symbolique. Être un délégué à la protection des données exige une formation professionnelle et, de façon optimale, une certification.
Enfin, préparer les technologies, les systèmes et les processus pour respecter les droits des personnes en matière de protection des données. L'un des défis les plus importants et les plus coûteux de la mise en œuvre du RGPD est d'adapter les systèmes des entreprises pour se conformer à une multitude de droits individuels existants et nouvellement établis.