[Avis d'expert] RGPD : 6 bonnes raisons de relâcher (un peu) la pression !

Adopter une vision pragmatique des choses

Plutôt que de regarder l'étendue des changements à effectuer, nous vous conseillons donc d'adopter une approche itérative, en procédant étape par étape.

- Passer en mode projet : définir une organisation (mode de travail, comité décisionnel, nomination d'un chef de projet, identification des compétences à allouer...), auditer ses outils existants, créer rapidement une feuille de route de mise en conformité ... Les personnes qui travailleront sur ce projet devront avoir des compétences ou une sensibilité à la fois juridique, puisqu'il s'agit d'une loi, en SI et gestion des données, mais aussi métier, avec une bonne connaissance des processus et de l'activité de l'entreprise. Pour celles, qui ne disposeraient pas de ces ressources en interne, une possibilité sera de s'orienter vers un prestataire externe, spécialisé dans ce type d'accompagnement. Toutefois, les ressources compétentes pour mener ce type de projet tendent à se raréfier.

- Travailler en priorité sur les éléments visibles par les clients, prospects, candidats et partenaires de l'entreprise : à savoir, ses sites Internet, applications mobiles et également formulaires papier de collecte des données personnelles. Il s'agira dans ce cadre-là de commencer par auditer l'ensemble des mentions d'informations (durée de conservation des données, finalité exacte de la collecte, droit de rectification de ses informations personnelles...) et le recueil explicite du consentement. Ainsi, l'entreprise déterminera facilement ses écarts avec la loi à venir et pourra reformuler ses mentions, mais aussi revoir son système de recueil pour le rendre plus explicite si besoin. Il s'agit de points sur lesquels elle peut agir rapidement et facilement. En plus de se mettre en conformité avec la loi, cela lui permettra de renvoyer une image positive à l'extérieur.

- Avancer itérativement. Il n'est plus l'heure de mener des audits complets de conformité. Il est préférable de réaliser des audits et cadrages ciblés, de 2 semaines maximum, plutôt que de chercher à traiter en une fois l'ensemble des sujets relatifs au RGPD. Ainsi, on peut rapidement initialiser la mise en oeuvre et se mettre en mouvement. Par exemple, le registre des traitements est facilement à démarrer avec les premiers traitements les plus importants.

- Regarder du côté de ses sous-traitants. Dans l'esprit, le RGPD dit ceci : "Un client n'est pas conforme si ses sous-traitants ne le sont pas". Bien entendu, il existe un principe de proportionnalité, selon l'importance de ces prestataires et la nature des données personnelles qu'ils sont amenés à traiter. Toutefois, il sera essentiel de s'assurer que ces derniers sont en règle, car, en cas de sanction par la CNIL, le principe de coresponsabilité s'appliquera. Cela commence, de manière pragmatique, à demander officiellement à ses sous-traitants leur plan de mise en conformité.

En relativisant les difficultés liées à l'application du RGPD, en prenant les choses dans l'ordre et en allouant des ressources humaines et financières, chaque entreprise peut être en mesure de mettre sous contrôle son projet de mise en conformité et ce en toute sérénité.