Temps de lecture : 2 minutes
Le vendredi 25 mai 2018 entre en application le Règlement Général sur la Protection des Données. L’objectif est d’harmoniser la régulation des données personnelles dans l’ensemble des pays de l’Union Européenne.
A la date de cette entrée en vigueur, il est percevable, auprès des entreprises, que beaucoup de questions restent en suspens. Idées reçues, confusions, incompréhensions.
Une présentation simple des étapes à suivre pour assurer sa mise en conformité et prendre du recul pour saisir les opportunités.
LES 6 ÉTAPES
- Désigner un pilote, un Data Protection Officier (DPO), un Correspondant Informatique et Liberté (CIL) ou un chef de projet à qui l’entreprise donnera les moyens humains et financiers de se mettre en conformité avec le règlement.
- Cartographier le traitement de données personnelles, en s’appuyant sur un registre recensant l’ensemble des traitements de données personnelles tous vos traitements par finalité et types de données utilisées de leurs productions à leurs destructions, en mettant en évidence l’ensemble des personnes intervenant dans ces traitements y compris les sous-traitants.
- Prioriser les actions à mener pour se conformer, en agissant sur deux axes : la protection des personnes concernés par vos traitements et les traitements à risque. Ces actions sont définies sur la base du registre des traitements
- Gérer les risques identifiés sur les traitements à risques élevés pour les droits et libertés de personnes. Pour chacun de ces traitements une analyse d’impact sur la protection des données (PIA) doit être menée.
- Organiser les processus internes autour d’un objectif précis : assurer un haut niveau de protection des données dès la conception des projets. Il convient de garantir une réponse rapide à tout événement survenant au cours de la vie d’un traitement de données (faille de sécurité, droit d’accès et de rectification, évolution des données à collecter, changement de sous-traitant, …).
- Documenter la conformité en matérialisant toutes vos actions de mise en conformité au règlement. Chaque action doit pouvoir être actualisée régulièrement.
LES MESURES A PRENDRE NE SONT PAS UNIQUEMENT TECHNIQUES
La RGPD ne doit pas être réduite au seul volet technique, il ne s’agit pas d’un ensemble de préconisations s’adressant à l’ « Informatique ».
Il s’agit d’un cadre règlementaire qui définit les attentes en termes de protection des données personnelles pour les résidents de l’union européenne
Il implique un travail transversal qui s’applique à tous les niveaux, ainsi outre les mesures techniques, doivent être prises des mesures humaines (accompagnement au changement) et des mesures organisationnelles (mettre en place des process de suivi des traitements et de la vie des données).
LE RGPD, UNE SOURCE D’OPPORTUNITES
Finalement, cette mise en conformité amène les entreprises à revoir en profondeur le traitement de de leurs données. Des opportunités peuvent être saisies .
- Recartographier l’ensemble des données, et s’interroger sur leur utilité, leur finalité. Assainir les bases.
- Echanger avec le métier et voir émerger de nouvelles idées.
- Identifier les processus du producteur de la donnée jusqu’à son consommateur.
- Rationnaliser les traitements techniques : revues du code, simplification, factorisation.
- Revoir les contrats avec les prestataires.
De plus, cette relation de confiance avec le client, fondée sur un traitement légitime des données dont il tirera un bénéfice certain, permettra aux entreprises d’aller encore plus en avant dans leurs projets digitaux (marketing stratégique s’appuyant sur des smart data).
Le RGPD est une continuité de la loi informatique et liberté de 1978, il vise à s’adapter aux nouveaux usages et à la conformer. Une grande partie de cette mise en conformité est déjà présente au sein des organisations du fait de la loi de 78. Les entreprises ne repartent pas de zéro.
La compréhension de l’existant, la rationalisation des processus et l’assainissement de bases de données vont permettre aux entreprises de trouver de nouveaux leviers pour leur business.
