[Avis d'expert] RGPD : 6 bonnes raisons de relâcher (un peu) la pression !
Alors que le RGPD se met en place, les esprits s'affolent. Devant l'inquiétude grandissante au sein des entreprises qui ont peur de ne pas être prêtes en mai prochain, nous lançons le mot d'ordre suivant : "Soyons pragmatiques". Nos conseils pour aborder ce grand chantier en toute sérénité.
Je m'abonneLe 25 mai prochain entrera en application le RGPD, qui doit permettre de protéger plus efficacement les citoyens dans le cadre de la collecte et de l'utilisation des données personnelles par des tiers. Cette échéance peut donner des sueurs froides à certaines organisations, qui craignent de ne pas avoir réglé toutes les questions ainsi soulevées avant cette date butoir. Aussi, voici 6 bonnes raisons de relâcher la pression :
1. La CNIL l'a réaffirmé il y a peu en ces termes : "La date du 25 mai n'est pas un couperet". Ce jour-là doit être vu comme une étape et une marche à monter qui incite les entreprises à accélérer, ou démarrer pour certaines, leur mise en conformité et surtout à la poursuivre après le 25 mai.
2. Jean Lessi, l'actuel secrétaire général de la CNIL, a également annoncé que le niveau de sanction serait proportionnel au niveau de conformité déjà établi par les entreprises. En clair, si elles appliquent déjà rigoureusement les obligations de la Loi Informatique et Libertés, l'autorité de contrôle sera plus clémente.
3. Il reste encore un peu de temps, 4 mois pour être exact, avant la mise en application du RGPD. Si la conformité ne peut être totalement établie d'ici là, le fait d'avoir pris la mesure du sujet et lancer réellement les chantiers de mise en conformité seront également pris en compte par la CNIL. Il est également indispensable d'avoir un plan de mise en conformité tenu rigoureusement à jour pour être en capacité de démontrer une réelle implication.
4. Les entreprises ne sont pas seules. La CNIL met à leur disposition de nombreuses ressources : informations, guide méthodologique, outils d'aide à la mise en conformité tel que le registre de traitement ... La CNIL a également mis à disposition en novembre 2017un outil Open Source, nommé PIA, pour les aider à réaliser leurs études d'impacts sur la vie privée (Privacy Impact Assessment).
5. Même s'il s'agit d'un projet présentant un certain niveau de complexité, le passage au RGPD reste un projet d'entreprise comme un autre. Il nécessite des prérequis classiques à tous projets : désigner un chef de projet, mener un cadrage, établir un planning & un plan de charge, dédier des ressources et mettre en place une gouvernance du projet. Les entreprises ont tous réalisées des projets plus complexes que la mise en conformité RGPD. Il n'y a aucune raison de ne pas réussir la mise en conformité.
6. Enfin, 95% du RGPD reprend les obligations de la Loi Informatique et Libertés, en les approfondissant pour certaines. Les entreprises devraient donc normalement déjà avoir mis en place un certain nombre de mesures, permettant de garantir la protection des données personnelles qu'elles recueillent et d'en assurer une utilisation transparente.
Lire la suite en page 2: Adopter une vision pragmatique des choses
Adopter une vision pragmatique des choses
Plutôt que de regarder l'étendue des changements à effectuer, nous vous conseillons donc d'adopter une approche itérative, en procédant étape par étape.
- Passer en mode projet : définir une organisation (mode de travail, comité décisionnel, nomination d'un chef de projet, identification des compétences à allouer...), auditer ses outils existants, créer rapidement une feuille de route de mise en conformité ... Les personnes qui travailleront sur ce projet devront avoir des compétences ou une sensibilité à la fois juridique, puisqu'il s'agit d'une loi, en SI et gestion des données, mais aussi métier, avec une bonne connaissance des processus et de l'activité de l'entreprise. Pour celles, qui ne disposeraient pas de ces ressources en interne, une possibilité sera de s'orienter vers un prestataire externe, spécialisé dans ce type d'accompagnement. Toutefois, les ressources compétentes pour mener ce type de projet tendent à se raréfier.
- Travailler en priorité sur les éléments visibles par les clients, prospects, candidats et partenaires de l'entreprise : à savoir, ses sites Internet, applications mobiles et également formulaires papier de collecte des données personnelles. Il s'agira dans ce cadre-là de commencer par auditer l'ensemble des mentions d'informations (durée de conservation des données, finalité exacte de la collecte, droit de rectification de ses informations personnelles...) et le recueil explicite du consentement. Ainsi, l'entreprise déterminera facilement ses écarts avec la loi à venir et pourra reformuler ses mentions, mais aussi revoir son système de recueil pour le rendre plus explicite si besoin. Il s'agit de points sur lesquels elle peut agir rapidement et facilement. En plus de se mettre en conformité avec la loi, cela lui permettra de renvoyer une image positive à l'extérieur.
- Avancer itérativement. Il n'est plus l'heure de mener des audits complets de conformité. Il est préférable de réaliser des audits et cadrages ciblés, de 2 semaines maximum, plutôt que de chercher à traiter en une fois l'ensemble des sujets relatifs au RGPD. Ainsi, on peut rapidement initialiser la mise en oeuvre et se mettre en mouvement. Par exemple, le registre des traitements est facilement à démarrer avec les premiers traitements les plus importants.
- Regarder du côté de ses sous-traitants. Dans l'esprit, le RGPD dit ceci : "Un client n'est pas conforme si ses sous-traitants ne le sont pas". Bien entendu, il existe un principe de proportionnalité, selon l'importance de ces prestataires et la nature des données personnelles qu'ils sont amenés à traiter. Toutefois, il sera essentiel de s'assurer que ces derniers sont en règle, car, en cas de sanction par la CNIL, le principe de coresponsabilité s'appliquera. Cela commence, de manière pragmatique, à demander officiellement à ses sous-traitants leur plan de mise en conformité.
En relativisant les difficultés liées à l'application du RGPD, en prenant les choses dans l'ordre et en allouant des ressources humaines et financières, chaque entreprise peut être en mesure de mettre sous contrôle son projet de mise en conformité et ce en toute sérénité.
Par mc2i Groupe, spécialiste de l'accompagnement à la transformation digitale des entreprises