Conçu pour aider les entreprises à mieux gérer les flux croissants de données, notamment les données sensibles, le RGPD se substitue à la directive sur la protection des données et prévoit de nouvelles conditions concernant la collecte, l’exploitation et le transfert des données, dont le non-respect entraînera de lourdes amendes. Toutefois, certaines de ses consignes sont relativement complexes à mettre en œuvre. Afin d’assurer l’application du règlement, plusieurs entreprises ont nommé un délégué à la protection des données personnelles (DPO, Data Personal Officer). Garant de la mise en conformité avec la nouvelle réglementation, le délégué à la protection des données est un intermédiaire clé pour apporter plus de traçabilité aux données et pallier aux risques qui y sont liés. Intervenant en dehors du management, le délégué à la protection des données éloigne le risque de non-conformité avec la réglementation. Il exerce une activité à plein temps qui requiert une parfaite connaissance des données de l’entreprise et de leur politique de traitement.
Données personnelles et traçabilité : Implications et défis du RGPD
En rendant les données plus facilement identifiables, le RGPD modifiera en profondeur le fonctionnement de tous les départements de l’entreprise (marketing, services RH, services juridiques, etc.). Avis de confidentialité, notifications de consentement ou encore notifications de faille de sécurité sont en l’occurrence concernés par le règlement, ainsi que les informations personnelles détenues par l’entreprise sur ses employés (nom, date de naissance ou adresse IP). Les RH seront tenues de regrouper ces dernières sous la nomination « données personnelles », de les rendre accessibles aux personnes concernées, de permettre leur suppression – sous conditions –, et de les informer sur leur durée de conservation et leurs mouvements. En conséquence, les dirigeants devront ajuster leurs règles internes et actualiser leurs systèmes d’information. Garantir la traçabilité des données, une des exigences du RGPD, implique en effet que l’entreprise mette en place des processus de stockage, de gestion et d’exploitation des données assez solides pour garantir la traçabilité de ses données.
La traçabilité permet en outre de mesurer la performance d’une campagne avec précision : lorsque les données sont aisément accessibles, on peut y trouver la raison précise pour laquelle une campagne a fonctionné. Cependant, les nombreuses étapes qui constituent les systèmes d’information actuels (une équipe crée la base des données, une seconde l’affine et établit les processus de gestion avant de passer le relais à une autre équipe, et ainsi de suite) font obstacle à la traçabilité des données. Les entreprises doivent pourtant assurer une traçabilité parfaite pour être prêtes à appliquer la réglementation. Le seul moyen d’y parvenir sera donc d’actualiser les systèmes d’information afin qu’ils répondent aux nouvelles exigences : ceux-ci devront être à même de classer les données existantes afin qu’elles soient en conformité.
Règles internes : les changements à amener
Pour être en conformité, les entreprises doivent impérativement évaluer les risques potentiels liés à leurs pratiques courantes et modifier les règles actuelles. Cela implique de :
1. Vérifier les processus de données en contrôlant les pratiques de conservation (type de données stockées, durée), de traitement et de transfert (en France, en UE ou à l’international) ;
2. Communiquer de façon compréhensible sur l’utilisation des données personnelles ;
3. Tenir compte du droit des individus à l’information en élaborant un processus standard, pour les demandes d’accès aux données et de suppression, par les particuliers concernés ;
4. Réviser les avis de confidentialité sans tarder, pour qu’ils soient conformes aux nouveaux paramètres de confidentialité (privacy notices) en vue de les préparer à l’application de la RGPD prévue en 2018. Ces paramètres devront être rédigés de façon concise, transparente, intelligible et facilement accessible ;
5. Anticiper les risques et les failles de sécurité de façon immédiate afin de protéger les données individuelles. La nomination d’un DPO : une mesure encouragée par la nouvelle réglementation.
Trois cas de mise en place d'un DPO
L’article 37 (1) du RGDP exige la nomination d’un délégué à la protection des données (DPO) dans l’un de ces trois cas : le traitement est effectué par une autorité publique ou un organisme public, les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées. Ou bien les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.
Après examen des lignes directrices du RGPD, les entreprises pourront nommer un délégué à la protection des données, dont le rôle évoluera en fonction de l’émergence de nouvelles réglementations.
Le non-respect du RGPD peut coûter à l’entreprise jusqu’à 4% de son chiffre d’affaires, et entraîner l’interdiction de traiter les données personnelles. Sans l’intervention du DPO, nécessaire à la compréhension des directives de la RGPD, la gestion du traitement des données s’ajoutera aux attributions déjà nombreuses du Chief Digital Officer (CDO) ou du DSI : la situation sera impossible à gérer. Les entreprises doivent donc impérativement envisager d’intégrer cette compétence à leur personnel, et cela rapidement, car la mise en conformité avec le RGPD est un projet d’envergure qui demande près de deux ans. Or la nouvelle réglementation entrera en vigueur dès mai 2018. Il est donc impératif de s’y mettre dès à présent pour les retardataires !