Saint-Brieuc, Bretagne
+336 17 03 06 51
contact@ludovic-arnold.com

RGPD ? Vous avez dit RGPD ?

En ce début d’année 2018, ce sigle composé de 4 lettres commence à intriguer, voir inquiéter un bon nombre d’entreprises.

Le Règlement Général sur la Protection des Données ou RGPD (en anglais : General Data Protection Regulation, GDPR) est un texte de référence Européen en matière de protection des données à caractère personnel. Point important : ce texte n’est pas une directive, mais un règlement directement applicable aux États membres de l’Union Européenne à compter du 25 mai 2018.

Ce règlement n’est pas une nouveauté en terme de protection de données à caractères personnel, il ne fait qu’harmoniser et renforcer les dispositions des CNIL de chaque État de l’Union Européenne. Je ne garderai que des exemples Français dans cet article.

6 étapes clés de la mise en œuvre du RGPD ! 

  1. Désigner un « pilote », chef d’orchestre au sein de l’entreprise qui aura pour mission d’informer, conseiller et contrôler la mise en conformité de ce règlement.
  2. Cartographier les traitements de données personnelles en les recensant de façon précise dans un fichier Libre Office ou Excel par exemple.
  3. Prioriser les actions à mener, au regard des risques que font peser les traitements de données sur les droits et libertés des personnes concernées.
  4.  Gérer les risques, si vous avez identifier des traitements de données personnelles pouvant engendrer des risques élevés toujours pour les droits et libertés des personnes.
  5. Organiser les processus internes pour assurer une haute protection des données personnelles, tout au long de la vie des traitements.
  6. Documenter la conformité au règlement.

Dans quelle mesure, ce règlement peut affoler ?

Nous nous sommes tous confrontés, un jour ou l’autre, à des obligations souvent administratives qui font évoluer nos habitudes de travail. Lorsque ces obligations nous imposent de remettre en question notre business, cela est d’autant plus compliqué. A s’en demander si on ne cherche pas à tuer notre projet de vie professionnelle que l’on a mis du temps à développer. Au contraire, le RGPD doit nous apporter une sensibilisation à la donnée personnelle. Vous en conviendrez, c’est un sujet de société d’une importance capitale.

Le RGPD va alléger les procédures existantes de déclaration à la CNIL, pour les remplacer par un travail global de recensement des traitements de données dans chaque entreprise. Nous ne déclarerons plus « être dans les clous », mais nous devrons faire preuve, notamment grâce au point 6 cité plus haut : la documentation. Fastidieux et chronophage, ce règlement général impose des tâches supplémentaires à l’entreprise, qu’elle doit réaliser pour être en conformité.

Imaginons que votre cœur de métier est le marketing, la collecte et l’utilisation de fichiers de prospects, clients ou fournisseurs. Vous traitez des données personnelles toute l’année, vous en avez fait votre business.
Le RGPD vous impose de référencer tous vos traitements de données, d’en désigner un responsable et de respecter les principes de ce texte, comme par exemple la sécurité des traitements ou la durée de conservation des données.
Le travail à effectuer peut paraître une montagne à gravir sans être certain que la cordée tiendra.

La remise en question de certains de nos processus est indispensable afin d’être en conformité avec le RGPD. L’exemple d’un simple formulaire web afin de délivrer à vos visiteurs le dernier livre blanc de votre entreprise, doit être réétudié au regard des informations demandées :

  • Sont-elles nécessaires au traitement ?
  • Combien de temps puis-je conserver ces données ?
  • Ma case à cocher Opt IN « J’accepte les CGU et je m’abonne à la Newsletter »  est-elle réglementaire ?

Nous venons de le voir, ce règlement mais surtout sa mise en application rigoureuse va nous demander pas mal d’efforts, principalement intellectuels afin de se poser les bonnes questions.

En cas de non conformité à la date du 25 mai 2018, nous risquons des sanctions administratives mais aussi pénales assez lourdes, pouvant affaiblir notre business mais surtout, j’insiste énormément sur le SURTOUT, une chute vertigineuse de l’image de l’entreprise. Un exemple parlant, le cas DARTY met en exergue le lien entre le « responsable des traitements » et le « sous traitant ». Au delà de la sanctions pénale, l’image de la société en a pris un coup. L’effort a surement dû être important pour retrouver la confiance des clients.

Ce règlement intègre des principes que nous avons vu émerger il y a maintenant quelques année, comme le « droit à l’oubli » présent dans la Loi pour une République numérique appelée loi numérique ou loi Lemaire. L’Article 17 du RGPD nommé « Droit à l’effacement » renforce à l’échelle Européenne ces dispositions. Pour le plaisir, voici un extrait :

  1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique:

a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;

c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;

d) les données à caractère personnel ont fait l’objet d’un traitement illicite;

e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;

f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

Ce « Droit à l’effacement » m’interroge fortement sur l’obligation de respect du RGPD par nos états car il s’y applique également, en l’occurrence l’affaire de la Loi Renseignement et des boites noires. Petite digression qui n’a toujours pas de réponse claire 🙂

Ce règlement est à mon sens un réel pas vers la protection de nos données personnelles, une harmonisation Européenne qui démontre une volonté de protection de l’individu à l’ère numérique. Il reste encore beaucoup de travail afin de rendre ce sujet de société primordial. Il va falloir se battre contre les lobbying, revendiquer notre existante au delà de nos portes physiques, mais aussi parfois repenser nos modèles économiques.

La CNIL communique énormément sur ce règlement car elle se devra de le faire respecter. Néanmoins, consciente de l’effort que cela demande aux entreprises, la CNIL se montrera pédagogue et vous accompagnera le temps de cette transition. Mais ce n’est pas une raison pour procrastiner sur ce sujet sociétal.

N’hésitez pas à vous tourner vers un consultant ou un avocat spécialisé sur le sujet. D’ici le 25 mai 2018 les séances d’informations et de formations vont s’accroître un peu partout en France.

Je ne peux pas passer à côté du fait que certaines personnes vont se trouver un cheval de bataille, se présenter comme « Expert RGPD » et vendre à tour de bras des prestations d’accompagnement. Faites attention !

source : CNIL

DSI Thriller – RGPD from Best Practices SI on Vimeo.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.