C’est fatalement la question que se posent tous les responsables d’un projet en mise en conformité RGPD. Et bien entendu, il n’y a pas de réponse toute faite. Tout dépend du niveau de maturité de l’entreprise. Ce que nous préconisons, c’est ce que l’on appelle une revue initiale de conformité. Elle a le goût et l’odeur de l’audit sans en être un. C’est plutôt un inventaire des processus informatiques ou techniques.
Le point de départ de la réflexion est de se rapprocher d’un expert dans l’accompagnement de la mise en conformité RGPD. Car sachez-le, le RGPD a un caractère positif sur les entreprises. La principale opportunité est d’ouvrir la voie à une relation entreprise/client réinventé avec une forte crédibilité sur leur image vis-à-vis de leurs clients.
En France, de nombreuses entreprises enfreignent le RGPD.
Malgré la vigilance de la CNIL et les amendes infligées, le Netwrix Data risk & security report 2020 dresse un constat accablant de l’état de la protection des données personnelles dans l’Hexagone. Sur le partage des données, 22% des répondants ont connu un incident de sécurité dû à un partage de données non autorisé au cours des 12 derniers mois. Un tiers d’entre eux pensent que les employés de leur organisation partagent des données via les applications cloud en dehors de tout contrôle. Pire encore, 88% des organisations interrogées n’ont mis en œuvre aucun programme de conversation des données, soit le pourcentage le plus élevé de tous les pays analysés dans l’étude.
LE RGPD, Qu’est-ce que c’est ? pour quel avantage ?
Le RGPD (Règlement européen sur la Protection des Données) constitue actuellement le texte de référence sur la gestion des activités réalisées par les entreprises, concernant les données de personnes physiques que l’on peut identifier directement, ou de manière indirecte (notion de données à caractère personnel). Les règles en matière de Protection des données existent depuis les années 1970 mais ne disposaient que partiellement d’une valeur contraignante.
L’évolution des pratiques, l’accroissement de valeur dont les données personnelles ont progressivement fait l’objet, et les nouveaux défis technologiques ont néanmoins souligné les lacunes opérationnelles des entreprises et plus généralement les problématiques de taille liés à la protection de l’information, défi majeur du XXIème siècle au bénéfice des individus, assujettis à de nombreux traitements voire ciblés voire suivis de manière permanente au sein de l’espace numérique.
Entré en application le 25 mai 2018, le RGPD vient donc réaffirmer la nécessité de protéger les données personnelles à travers plusieurs objectifs majeurs au sein de la société de l’information :
– Redonner le contrôle et la maîtrise des données aux personnes concernées dans le cadre des traitements opérés par les entreprises,
– Responsabiliser les acteurs en charge des traitements de données personnelles, en leur qualité de Responsable des traitements comme en leur qualité de Sous-traitant agissant pour le compte des premiers,
– Permettre aux personnes ciblées par les traitements de bénéficier d’un niveau satisfaisant d’information concernant les activités réalisées sur leurs propres données,
– Encadrer les pratiques complexes, notamment d’ordre technologique pouvant engendrer des risques sur les droits et libertés des personnes concernées en matière de protection de leurs informations et plus généralement de leur vie privée.
Le Règlement est venu apporter un souffle nouveau à la protection des données, à travers la combinaison entre des règles déjà existantes sous l’empire des anciens encadrements légaux et un certain nombre de nouveautés juridiques et opérationnelles dans l’optique de mettre à jour les pratiques réalisées par les entreprises qui devront faire évoluer leurs actions sur les données personnelles :
– La protection des données personnelles dès la phase de conception (nouveau logiciel, nouveau processus de traitement, nouveauté technologique, etc..) avec la prise en compte des règles en amont du lancement de tout projet impliquant des données,
– La garantie d’exercice d’un certain nombre de droits individuels dont bénéficient les personnes concernées par les traitements de données, qu’ils soient clients, prospects, employés, préposés, salariés de vos fournisseurs ou prestataires.
– L’obligation de documenter la conformité RGPD à travers notamment la mise en place d’une gouvernance dédiée, de procédures et politiques opérationnelles ou encore l’un des documents phares de la conformité : le registre des activités de traitement permettant de recenser tous les usages sur les données personnelles
– La nécessité de procéder à des analyses de risques sur la vie privée pour les traitements de données qui remplissent des critères identifiés par les autorités européennes et locales compétentes, ces traitements reposant sur des opérations complexes, ou sur des données considérées comme sensibles notamment
– L’application de mesures techniques et organisationnelles, dédiées à apporter un niveau d’encadrement et de sécurisation des données, sur les volets physiques, informatiques et structurels.
Sanctions liées au RGPD
L’une des évolutions promues par le RGPD porte sur la possible exposition négative des entreprises ne produisant pas d’actions de conformité de leurs traitements, à des sanctions dont les typologies sont diverses. L’actualité de l’époque à laquelle le règlement est devenu effectif à fait état des conséquences négatives financières pour les entreprises, pouvant se situer jusqu’à 20 Millions d’euros ou 4% du chiffre d’affaires mondial annuel, pour les entités d’une envergure plus importantes.
Longtemps pensées comme inapplicables aux plus petites entités juridiques, la logique des sanctions s’inverse de manière exponentielle et notamment en France avec la CNIL qui a repris des entreprises de plus petites tailles sur des secteurs Marketing, médicaux ou encore des associations sportives, lesquelles ont donc subi des décisions négatives d’ordre financier, organisationnel ou par le biais de mises en demeure et avertissements.
Quelle que soit la nature de la sanction, celle-ci doit être évitée ne serait-ce que pour des raisons réputationnelles.
Alors la question qui peut se poser pour les entreprises est la suivante : quel est l’avantage de mettre en place les actions de conformité requises par la réglementation ?
· Une amélioration en interne des activités réalisées sur les données personnelles par des actions d’inventaires, de clarification et de réorganisation des traitements qui n’auraient pas été priorisés sans l’apparition du RGPD
· Un gage d’émergence du principe de qualité de la donnée traitée dans les activités quotidiennes qui permet ainsi une meilleure satisfaction des objectifs poursuivis par vos différents métiers (exemple : un contrôle du CRM et une amélioration des pratiques vous conduiront à fluidifier et accentuer vos chances de réussite en matière de prospection commerciale, grâce à des données qui sont minimisées, exactes et tenues régulièrement à jour).
· Un vecteur de confiance auprès de vos prestataires ou partenaires externes qui traitent des données pour votre compte ou qui, inversement, souhaitent collaborer avec vous en vous transmettant ainsi des portefeuilles de données personnelles. Mettre en place une conformité au RGPD dans votre structure vous conduira à renforcer votre légitimité et votre engagement de qualité sur la manière dont les données sont gérées dans vos activités.
Le RGPD apparaît donc davantage comme une opportunité de rétablir l’ordre sur la gestion des données personnelles et de susciter un regard positif dans l’optique de satisfaire des perspectives économiques, stratégiques et réputationnelles.
