[Avis d'expert] RGPD : 6 bonnes raisons de relâcher (un peu) la pression !
Publié par mc2i Groupe le - mis à jour à
Alors que le RGPD se met en place, les esprits s'affolent. Devant l'inquiétude grandissante au sein des entreprises qui ont peur de ne pas être prêtes en mai prochain, nous lançons le mot d'ordre suivant : "Soyons pragmatiques". Nos conseils pour aborder ce grand chantier en toute sérénité.
Le 25 mai prochain entrera en application le RGPD, qui doit permettre de protéger plus efficacement les citoyens dans le cadre de la collecte et de l'utilisation des données personnelles par des tiers. Cette échéance peut donner des sueurs froides à certaines organisations, qui craignent de ne pas avoir réglé toutes les questions ainsi soulevées avant cette date butoir. Aussi, voici 6 bonnes raisons de relâcher la pression :
1. La CNIL l'a réaffirmé il y a peu en ces termes : "La date du 25 mai n'est pas un couperet". Ce jour-là doit être vu comme une étape et une marche à monter qui incite les entreprises à accélérer, ou démarrer pour certaines, leur mise en conformité et surtout à la poursuivre après le 25 mai.
2. Jean Lessi, l'actuel secrétaire général de la CNIL, a également annoncé que le niveau de sanction serait proportionnel au niveau de conformité déjà établi par les entreprises. En clair, si elles appliquent déjà rigoureusement les obligations de la Loi Informatique et Libertés, l'autorité de contrôle sera plus clémente.
3. Il reste encore un peu de temps, 4 mois pour être exact, avant la mise en application du RGPD. Si la conformité ne peut être totalement établie d'ici là, le fait d'avoir pris la mesure du sujet et lancer réellement les chantiers de mise en conformité seront également pris en compte par la CNIL. Il est également indispensable d'avoir un plan de mise en conformité tenu rigoureusement à jour pour être en capacité de démontrer une réelle implication.
4. Les entreprises ne sont pas seules. La CNIL met à leur disposition de nombreuses ressources : informations, guide méthodologique, outils d'aide à la mise en conformité tel que le registre de traitement ... La CNIL a également mis à disposition en novembre 2017un outil Open Source, nommé PIA, pour les aider à réaliser leurs études d'impacts sur la vie privée (Privacy Impact Assessment).
5. Même s'il s'agit d'un projet présentant un certain niveau de complexité, le passage au RGPD reste un projet d'entreprise comme un autre. Il nécessite des prérequis classiques à tous projets : désigner un chef de projet, mener un cadrage, établir un planning & un plan de charge, dédier des ressources et mettre en place une gouvernance du projet. Les entreprises ont tous réalisées des projets plus complexes que la mise en conformité RGPD. Il n'y a aucune raison de ne pas réussir la mise en conformité.
6. Enfin, 95% du RGPD reprend les obligations de la Loi Informatique et Libertés, en les approfondissant pour certaines. Les entreprises devraient donc normalement déjà avoir mis en place un certain nombre de mesures, permettant de garantir la protection des données personnelles qu'elles recueillent et d'en assurer une utilisation transparente.
Lire la suite en page 2: Adopter une vision pragmatique des choses