RGPD : à vos marques, prêts ?

Le Règlement général sur la protection des données, ou RGPD, dont on parle depuis des mois, est applicable le 25 mai à toute organisation privée ou publique dès lors qu’elle est établie dans l’Union Européenne et/ou que son activité touche des résidents européens.

D'après une étude étude de la CSA (Cloud Security Alliance) menée en avril dernier il y avait 83 % des entreprises qui doutaient d'être en mesure de respecter la date-butoir du 25 mai et 83 % qui ne s'estimaient pas bien préparées au RGPD.

Dans ce nouvel environnement les PME, les TPE et les associations sont particulièrement exposées face à ces dispositions nouvelles que ce soit à cause d’information informations inintelligibles, de capacités d’anticipation (humaines et matérielles) insuffisantes ou d’une organisation inadéquate.

La CNIL, qui est le régulateur national en matière de protection des libertés et des données sur l’Internet, adoptera une attitude pragmatique à l'égard des entreprises qui ne seraient pas prêtes au jour J : "Le 25 mai ne sera pas une date couperet annonciatrice d'une pluie de sanctions", a affirmé sa présidente, Isabelle Falque-Pierrotin.

Le RGPD, une contrainte ou une menace pour l’entreprise ? Pas sûr !

A court terme la mise en conformité va se traduire par des coûts, à moyen terme les bénéfices porteront au-delà de la seule prévention d’une amende :

• Augmentation l’efficacité commerciale : base de données prospects/clients mise à jours, purgées des infos inutiles ou inexactes, permettant une prospection plus pertinente, mieux ciblée, générant plus de leads, d’une part et une facturation précise ainsi que le suivi après-vente efficient, d’autre part.
• Amélioration de la gestion : « minimisation » des données qui facilite leur traitement et réduit significativement l’espace de stockage.
• Sécurisation des données par l’identification et l’élimination des failles de sécurité.
• Consolidation des relations de confiance avec toutes les parties prenantes (clients, fournisseurs, donneurs d’ordre, …).
• Dans certains secteurs « l’obligation » de portabilité est une opportunité de créer de nouvelles prestations (liste de préférence pour des services en ligne par exemple)

Last but not least, la gestion des données personnelles respectueuse de la vie privée (modification, effacement, opposition…) contribue à une image responsable de l’entreprise et entretient la confiance des personnes qui lui confient leurs données.

Des données quelles données ?

Les données à caractère personnel sont multiformes et ne se limitent pas au données « directes » d’une personne physique : nom et prénom, elles sont aussi constituées d’informations indirectes : mail, N° de téléphone, age, identifiant… Il peut aussi s’agir de métadonnées (des données qui décrivent d'autres données) comme la date de sauvegarde, la taille et l'auteur du fichier que ce soit un document, un fichier audio, une image, ou tout autre information stockable.

Comment faire ?

Le passage obligé de la mise en conformité peut être franchi facilement à condition de faire les choses avec ordre et méthode :

• Recensement de tous les fichiers (finalité, contenu, droits d’accès, conservation) dont l’existence est consignée dans un registre global
• Vérification de la pertinence et de l’utilité des données conservées (vous avez sans doute remarqué que des entreprises avec qui avez été en contact vous demandent si vous souhaitez qu’elles conservent vos données)
• Information des personnes à chaque fois que l’entreprise collecte des données personnelles (en précisant pourquoi, qui aura accès, combien de temps les données sont concernées...)
• Sécurisation : mise à jour des antivirus, changement de mot de passe régulier, cryptage, signature de contrat avec les sous-traitants à qui est confiée la gestion de données personnelles (hébergeur du site internet par exemple)
• Pour les activité nécessitant le traitement de données sujettes à une attention particulière : informations concernant les mineurs, relatives à la santé, prise de décision automatisée, scoring financier… : Analyse approfondie appelée PIA (Privacy Impact Assesment) qui peut être faite avec un logiciel créé par la CNIL pour faciliter la tâche des entreprises.
• Organisation et sensibilisation dans l’entreprise en désignant un « DPO » (Data Protection Officer ou Délégué à la Protection des Données). Dans une TPE ou une start’up ce sera le chef d’entreprise. Outre le recensement, l’appréciation des risques et la mise œuvre des mesures adaptées le DPO en vérifie le fonctionnement et fera réaliser des audits de sécurité périodiques.

Alors...

Si toutes ces obligations nouvelles semblent astreignantes, elles ne sont pas inutiles pour autant : le public perçoit chaque jour un peu plus que la vie privée est de moins en moins ...« privée » et s’en émeut au point de tourner le dos aux progrès apportés par la révolution numérique.

Mieux vaut prévenir que (ne pas) guérir.

___________________________________________________________

Pour être informé de mes prochaines publications, il suffit de cliquer sur le bouton "Suivre" en haut (ou en bas) de ce billet.

Tous mes précédents articles sont ICI