Dernière ligne droite pour se préparer au RGDP : quelques conseils pour l’aborder sereinement.

Auteur: Magali REBEYRAT le 1 mars 2018

Cloud computing security business metaphor in blue colors. Corporate arm reaching out to a lock symbol inside a cloud icon. The padlock repeats on cellphone, tablet PC and laptop within the network.

Depuis plusieurs mois déjà, la majorité des opérateurs, toutes activités confondues, s’est attelée à mettre leur organisme en conformité. Mais aucun d’entre eux ne peut se targuer d’être tout à fait prêt.
Voici quelques conseils pour aborder sereinement la dernière ligne droite et faire de la mise en conformité au RGDP un facteur de cohésion des équipes vers la valorisation des actifs de la société et la préservation de sa réputation.

1. Mieux comprendre les enjeux du RGPD par delà les sanctions
Tous les formateurs vous le diront :
Grace à la présentation qui leur est faite des principes fondamentaux du RGPD, les opérationnels non juristes s’approprient plus facilement les règles de droit et peuvent les traduire immédiatement dans leur pratique professionnelle : une meilleure compréhension des risques passe nécessairement par cette sensibilisation.

Exemple :

  • en marketing : Le choix de la base légale du traitement qui doit être désormais indiquée dans les mentions d’information aura une incidence sur la stabilité même de la base : les différentes options offertes devront être analysées avec précaution selon le stade de la relation avec le prospect, client (consentement, intérêt légitime, exécution d’un contrat).

Pour les opérationnels non informaticiens, c’est la découverte des conséquences techniques des obligations du RGPD qui pourra être bénéfique :

2 exemples :

  • La connaissance des nouvelles obligations liées aux notifications de violation de données encouragera plus d’un à la prudence lorsqu’ils utiliseront leurs ordinateurs portables et autres smartphones.
  • La compréhension des obligations liées aux durées de conservation les incitera à s’intéresser à l’imbrication des différents outils informatiques, aux flux qu’ils génèrent et aux obligations de purge de l’ensemble des bases, en cas de désabonnement par exemple, ou d’exercice du droit à l’oubli.

La sensibilisation d’un maximum d’opérationnels sera dès lors un premier atout vers la responsabilisation.

2. Ne pas craindre la période d’audit :

Challenge pour certains, défi, voire angoisse pour d’autres, l’audit est un passage obligé et permet aux audités de mesurer immédiatement si les politiques existantes sont ou non respectées et de les faire appliquer. L’auditeur, dans ces circonstances, pourra même parfois recréer du lien entre des équipes.
Si l’objectif de l’auditeur est de faire ressortir les écarts, l’on constate, de manière rassurante, que bon nombre de traitements sont effectués dans les règles de l’art.

Les premières actions permettant de régulariser les écarts pourront porter de suite sur des actions faciles à déployer : mise à jour des mentions d’information, mise à jour des déclarations manquantes à la CNIL (toujours en vigueur jusqu’au 24 mai 2018), rédaction de chartes de bonne conduite, mise en place d’outils spécifiques comme dans le cas des zones de commentaires libres, dans le domaine marketing ou RH, le cas échéant.

3. S‘assurer une conformité sur le long terme :

La CNIL l’a répété par la voix de sa présidente : le 25 mai 2018 n’est pas une date couperet. Il importe que les entreprises se soient engagées dans des process de mise en conformité et non dans « un one shot ».

Le renforcement des process, gage de communication entre équipes.

Le principe d’accountability impose que les mesures engagées pour la conformité soient documentées. Chacun doit dès lors, a minima, organiser des process qui doivent avant tout rester pratiques.

De la conception d’un nouveau projet de déploiement d’une nouvelle solution informatique en interne (privacy by design/ by default, étude d’impacts, contrat avec le sous-traitant..) jusqu’à la gestion de crise (exercice par les personnes concernées de leurs droits, notification de violation de sécurité), les solutions retenues qui seront les plus efficaces auront été créées de manière transversale afin de répondre au mieux au risque encouru et reconnu comme tel par les opérationnels directement concernés.

Les solutions proposées par le RGPD : éthique des affaires et responsabilisation

Si certains rattachent la conformité en matière de protection des données à caractère personnel à la propriété intellectuelle et à l’exploitation des bases de données, la genèse de cette réglementation se trouve bien dans la préservation des libertés fondamentales face aux nouvelles technologies. L’éthique devient un facteur de différenciation entre opérateurs grâce aux moyens mis en œuvre par ceux – ci. Cette logique même garantira demain un meilleur respect de la donnée du client et sera facteur de confiance chez celui-ci.

Présenté comme le chef d’orchestre de la conformité du RGPD, le Délégué à la protection des données (DPD ou DPO) est souvent incontournable dès lors qu’un organisme traite de nombreuses données personnelles .La faculté de désigner des DPO externes notamment pour les plus petites structures sera une solution pour les rassurer dans la mise en œuvre de la conformité.

Conclusion : Le RGPD offre une chance unique à chaque organisme de recentrer les équipes vers un objectif éthique. Nul doute que l’ensemble des efforts fournis permettra à terme une meilleure valorisation de la donnée dans un contexte d’ultra digitalisation du monde des affaires, tourné déjà demain vers l’intelligence artificielle, prochain défi de nos sociétés.

 

Article réalisé par Maître Martine Ricouart-Maillet et Maître Caroline Belotti de BRM Avocats.

Une table ronde sur le sujet  » RGPD, où en sont les entreprises dans la mise en application ?  » avec Me Martine RICOUART-MAILLET, BRM Avocats et Muriel GLATIN, Data Protection Officer – Webedia est organisée le 6 mars à 17h30 Maif Social Club, 37 rue de Turenne 75003 Paris (Quartier Marais).

Pour vous inscrire gratuitement c’est ICI 

 

Partagez