Le 25 mai 2018, le nouveau règlement européen concernant la protection des données personnelles sera applicable. S’il renforce d’un côté les droits des utilisateurs en leur octroyant un droit à l’autodétermination informationnelle, il induit d’un autre côté un véritable tsunami juridique et organisationnel dans les entreprises.
Demain pour être en conformité, il appartiendra aux organismes d’assurer à la fois une protection optimale et permanente des données mais également d’être en mesure de la démontrer en la documentant. Or, inutile d’envisager de se cacher derrière la lourdeur ou la complexité des recours juridictionnels. La CNIL pourra être saisie par chaque citoyen et/ou des actions de groupe pourront être ouvertes. Si le véritable risque réside dans le hachoir du hashtag, la sanction financière est dorénavant conséquente : une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial pour une entreprise pourra être infligée !
La révolution numérique de la data est en marche. Alors que faire en moins de 24 heures pour conserver la confiance des salariés, clients, administrés et usagers ?
Analyser vos pratiques !
A partir du 25 mai, l’Union Européenne pourra être considérée comme le sanctuaire des données personnelles. La raison de ce postulat est simple et réside en un système, autrefois désuet, qui se retrouve être la pierre angulaire du RGPD : le consentement « éclairé ».
Désormais, fini l’opt-out, bonjour l’opt-in ! Toute personne concernée par le traitement et la collecte de ses données à caractère personnel devra en avoir été préalablement informée et, dans la majorité des cas, y avoir également donné expressément son accord. Par ce biais, elle sera en mesure de prendre connaissance de l’ensemble de ses droits (accès, opposition, rectification, effacement, limitation, portabilité), la base légale précisée ainsi que de la finalité du traitement qui devra être obligatoirement déterminée, explicite et légitime.
Mais, le RGPD ne s’arrête pas là…
Outre la nécessité que les données soient traitées de manière licite, loyale et transparente, le règlement européen réaffirme le principe suivant lequel les données personnelles collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire ; il s’agit du principe de minimisation. Elles devront également être exactes, tenues à jour, conservées de manière limitée dans le temps et surtout sécurisées.
Il est donc nécessaire, sans obligatoirement disposer d’une formation juridique, de réfléchir dans un premier temps au sens de chaque notion, droit, obligation présents dans les 173 considérants et les 99 articles du RGPD… Une besogne potentiellement réservée aux abeilles…
Organiser une gouvernance de la data !
A quelques heures de l’entrée en vigueur du RGPD et après avoir procédé à une analyse minutieuse de vos pratiques, il est nécessaire d’organiser très méthodiquement votre gouvernance de la data.
Dans un premier temps, il est indispensable de désigner un pilote de la transition numérique. Ce dernier, en charge de la gouvernance des données personnelles, permettra d’organiser votre mise en conformité, c’est-à-dire de planifier les actions à mener pour répondre aux exigences du RGPD et notamment la cartographie de vos traitements de données personnelles. Cette opération de recensement est une étape cruciale car elle permettra l’élaboration d’un registre des traitements qui permettra à la fois de faire le point sur la protection des données qui sont traitées, mais également d’identifier les actions à mener pour vous conformer aux obligations actuelles et à venir. A ce titre, la sécurité des systèmes d’information et la protection des données sensibles revêt une importance toute particulière.
Désigner le pilote , gagner du temps…
La désignation d’un « délégué à la protection des données » peut apparaître comme salvatrice, voire obligatoire, si vous êtes une personne publique, si vos activités de base consistent en un traitement à grande échelle de données sensibles ou exigent des suivis réguliers et systématiques de ces dernières.
Véritable chef d’orchestre de l’application du RGPD et relais avec la CNIL, il s’assurera de la mise en œuvre des démarches de conformité et du respect des obligations et principes du Règlement. Pour ce faire, il exercera une mission d’information, de conseil et de contrôle en interne.
Documenter !
La veille de l’entrée en vigueur du RGPD et la prise de conscience que trois ou six mois vous seraient nécessaire pour organiser votre gouvernance de la data et cartographier vos traitements, trois étapes restent cruciales pour assurer votre mise en conformité.
Tout d’abord, lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, vous devrez effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
Cette analyse devra ainsi obligatoirement précéder une autre étape clé de votre mise en conformité : la mise en place de procédures internes. Cette dernière aura pour objectif de garantir la prise en compte de la protection des données à tout moment et ce peu importe les évènements qui peuvent surgir au cours de la vie du traitement.
Vous devrez enfin constituer et regrouper toute la documentation nécessaire pour s’assurer et être en mesure de démontrer la conformité de vos activités de traitement avec le RGPD, La rédaction d’une politique de protection des données ou des mentions légales et politiques est à ce titre nécessaire, tout en sachant que toutes les mesures doivent être réexaminées et actualisées si la situation le justifie. La protection des données à caractère personnel doit être assurée en continu !
Respirez !
25 mai…. Inutile de paniquer, la CNIL a prévu une courbe d’apprentissage.
Gare toutefois aux recours juridictionnels qui eux n’attendront pas… Action de groupe quand tu nous tiens 🙂 : les GAFAM et gros opérateurs se tiennent prêts à ferrailler contre les associations de défense des droits (la quadrature du net ou NOYB..) et toilettent à tout va leurs politiques de confidentialité . Pour la PME, le chantier est plus vaste mais courage, les guides de la CNIL sont là pour vous…
Tenez-vous simplement prêt à ne pas être prêt au RGPD, il s’agit de dépasser la contrainte, en faire une opportunité, un levier de performance et un atout concurrentiel.
Remettre l’humain au cœur de vos pratiques, ce n’est peut-être que cela le RGPD …