RGPD, êtes vous prêt ?

Julien February 2018

Le RGPD (Règlement Général sur la Protection des Données) entre en vigueur le 25 mai 2018 en s'appliquant à toutes les organisations privées et publiques. Et vous, êtes-vous prêt ?

Faut-il encore présenter ce règlement, tant on en parle jusque dans les plus reculées des chaumières, à l'heure actuelle ? Pourtant, si l'on en croit les analystes et les juristes, peu d'entreprises, PME en particulier, seront prêtes à la date fatidique.

L'avocat spécialisé en droit des technologies bien connu Alain Bensoussan, par exemple, reste très sceptique quant à la conformité des entreprises françaises dès le 25 mai 2018. Ce n'est pourtant pas faute d'œuvrer sur le sujet, puisque le Syntec Numérique prévoit que le seul RGPD va générer un chiffre d'affaires de près d'un milliard d'euros cette année pour les entreprises du secteur des services.

RGPD : De quoi parle-t-on ?

C'est la gestion des données à caractère personnel qui change fondamentalement au travers de ce règlement : alors qu'elles sont quasiment la règle aujourd'hui elles doivent devenir l'exception demain. Jusqu'à présent, il suffisait de déclarer son fichier à la CNIL (Commission Nationale de l'Informatique et des Libertés).

Désormais, il faudra non seulement déclarer son fichier, mais aussi indiquer pourquoi on le met en œuvre et pour quelle durée. Le RGPD renforce en effet les droits du citoyen et, outre le droit de regard et de rectification qu'il avait jusqu'ici, lui permet également de demander la suppression des informations le concernant. Il convient donc d'être en mesure d'accéder à une telle demande.

Sont concernées toutes les informations se rapportant à une personne physique identifiée ou identifiable. Autrement dit les noms, numéros de téléphone, identifiants en ligne de personnes, mais aussi les adresses IP, car elles peuvent permettre de faire le lien avec un individu. Il y a également les données de vidéosurveillance, de géolocalisation ou encore les fichiers des Ressources Humaines. Y compris d'ailleurs des fichiers qui ne seraient pas sur un support magnétique ou informatique, comme un registre papier des visiteurs de l'entreprise, par exemple.

Six grands principes régissent les traitements des informations à caractère personnel dans ce nouveau règlement RGPD :

1. La licéité, ou conformité au droit des traitements

pour être mis en œuvre, un traitement doit avoir une des bases juridiques énoncées à l'article 6 du RGPD (qui en compte 99...), par exemple le consentement de la personne, une obligation légale ou encore la sauvegarde des intérêts vitaux de la personne.

2. La finalité

C'est le pourquoi du traitement. Les données doivent être collectées dans un but bien précis, explicite et légitime, comme par exemple l'étude de curriculum vitae dans le cadre d'un recrutement ou des campagnes marketing.

3. La proportionnalité

Les données doivent être adéquates, pertinentes et limitées à l'objectif visé. Et surtout, elles ne doivent être conservées que pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités affichées.

4. Protection dès la conception

La protection des données à caractère personnel doit être prise en compte dès la conception du logiciel ou de l'outil et mise en conformité tout au long du cycle de vie de celui-ci. Ainsi verrez-vous votre éditeur de logiciels mettre en œuvre les règles du RGPD dans ses produits dès les prochaines versions qui vous seront livrées.

5. La responsabilité

C'est l'obligation de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles de protection des données, comme la tenue d'un registre central, par exemple.

6. Le droit à la compréhension et à l'information

Les droits des personnes dont les données sont collectées se voient ainsi renforcés. Les informations sur les traitements doivent pouvoir être communiquées à la demande, de manière transparente, concise, compréhensible, en termes clairs et simples, pour être aisément accessibles.

Les sanctions

En termes de sanctions, avec le RGPD on change d'échelle par rapport à ce qui existait précédemment : de 150 000 euros maximum jusqu'ici on passe à 20 M€ d'amende maximale ou 4 % du CA mondial de l'entreprise, le montant le plus élevé étant retenu. L'enjeu et les risques ne sont donc pas anodins et peuvent mettre en péril l'existence même d'une PME.

Considérant que le RGPD, définitivement adopté par le Parlement européen en avril 2016, devrait être en vigueur depuis près de deux ans, il y a peu de chances que les autorités fassent bénéficier les organisations d'une période de grâce. D'ailleurs, la CNIL prévoit des sanctions dès le 25 mai et pourra, outre l'émission d'un avertissement ou d'une mise en demeure, limiter temporairement ou définitivement un traitement, suspendre les flux de données, mais aussi ordonner de satisfaire aux demandes d'exercice des droits des personnes, de rectifier, de limiter ou d'effacer des données.

La mise en œuvre

Vous l'aurez compris, la mise en conformité RGPD de votre SI est un vrai projet et impose de mettre les ressources nécessaires en face. Ce projet passe en tout premier lieu par la détermination et la nomination d'un DPO (Data Protection Officer), ou délégué à la protection des données. Impliqué dans toutes les questions liées à la protection des données personnelles, il est l'interlocuteur des personnes concernées par le traitement de ces données. Il informe, conseille, mais contrôle aussi la conformité au RGPD et coopère avec l'autorité de contrôle. Il peut aussi, le cas échéant, piloter le projet.

Il faut ensuite, sous la direction du DPO, identifier et recenser toutes les données à caractère personnel que traite l'entreprise, un volume qui, pour une entreprise dont le métier n'est pas de traiter des données personnelles, s'évalue à environ 15 % de l'ensemble de ses données. Tous les départements sont concernés et pas uniquement la DSI et la direction générale. Cela va de la direction marketing avec ses campagnes à la direction commerciale, à la DRH et les informations qu'elle collecte et traite à propos non seulement des collaborateurs de l'entreprise mais aussi des candidats ayant postulé à des postes proposés dans le passé.

Puis on définira une feuille de route détaillant les principaux chantiers à mettre en œuvre, avant d'entrer dans le vif du sujet. Le nombre, la complexité et l'ampleur des diverses tâches à réaliser ne peut que vous inciter à engager immédiatement cette mise en conformité, si elle n'est pas déjà en cours.

 

N'hésitez pas à vous rapprocher de votre éditeur, qui saura vous conseiller et vous aiguiller dans votre démarche. La bonne nouvelle, c'est que RGPD n'est pas synonyme uniquement de contraintes : s'il renforce les obligations de sécurité des entreprises, il donne aux tiers l'assurance d'un niveau de protection accru dans le traitement des données personnelles les concernant détenues par l'entreprise.

Photo by Matthew Henry

Articles related