Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à utiliser ce dernier, nous considérerons que vous acceptez l'utilisation des cookies.
Le site de la transformation digitale des entreprises et de l’entreprise mobile par GPOMag
les étapes à franchir pour se mettre en conformité avec le RGPD
Les actualités du digital

Compliance et RGPD, il y a extrême urgence

Seulement 19 % des entreprises estiment qu’elles seront conformes au Règlement (UE) n°2016/679 RGPD ou Règlement Général sur la Protection des Données qui entrera en application le 25 mai 2018 dans toute l’Union Européenne (selon un sondage réalisé en mai 2017 par l’Association Française des Correspondants à la protection des Données à caractère Personnel ou AFCDP).

Autant dire que l’urgence est déjà présente pour les entreprises, premières touchées, alors qu’elles doivent déjà mettre leurs process en conformité avec la Loi Sapin II n°2016-1691 de lutte contre le blanchiment, dont les dispositions sont officiellement en application depuis le 1er juin 2017.

Quelles sont donc les étapes à franchir pour se mettre en conformité ? Quels dispositifs mettre en place ?

• Retour sur les fondamentaux du RGPD
Avant tout, la CNIL disposera d’un pouvoir de sanctions sans précédent avec le RGPD : une sanction pécuniaire pouvant aller de 20 millions d’euros jusque 4% du chiffre d’affaires mondial.
Au-delà du risque financier, c’est le risque réputationnel qui va peser sur les entreprises. Se conformer au RGPD à l’ère du Big Data, c’est se doter d’un avantage concurrentiel certain. D’autant que des labels décernés par la CNIL existent déjà, certifiant qu’une entreprise est respectueuse des données personnelles de ses utilisateurs.
Tout le processus de mise en conformité repose sur les 3 piliers du RGPD : « Accountability » ; « Privacy by design » ; Coresponsabilité.
Le RGPD bouscule les règles du jeu. Jusqu’à présent, le dispositif législatif plaçait les entreprises dans une logique de déclaration et d’autorisation auprès de la CNIL. Demain, elles devront être « Accountable » et il ne s’agit pas seulement de responsabilité. Cette notion, qui n’a pas son pendant en droit français, répond à la logique de ‘rendre des comptes’. Ainsi, les responsables de traitement et les sous-traitants doivent mettre en place les mesures de protection appropriées et devront démontrer cette conformité à tout moment. Toutefois, certains traitements présentant un risque élevé pour la vie privée des personnes resteront soumis à des déclarations voire à des autorisations.
Le deuxième pilier est celui de la « Privacy by design ». C’est un nouveau concept introduit par le RGPD, désigné par les spécialistes comme un processus qualité. Il s’agit pour les entreprises de protéger les données dès la conception du produit ou du service et jusqu’à sa mise en œuvre, c’est-à-dire par défaut. De même, selon le principe de « minimisation », il s’agira de limiter la collecte des données à la stricte finalité du service ou du produit.
Enfin, dernier pilier, le RGPD concerne aussi bien les responsables de traitement que les sous-traitants qui pourront voir leurs responsabilités engagées dans une nouvelle logique de coresponsabilité vis-à-vis des manquements au règlement.

• L’étape essentielle : la désignation d’un pilote
La CNIL a établi 6 étapes désormais bien connues pour atteindre la conformité : Désigner un pilote de la conformité, cartographier les traitements de données personnelles, prioriser les actions, gérer les risques, organiser les processus internes, documenter la conformité.
En définitive, il convient d’insister sur la première étape en ce qu’elle gouverne le bon déroulement des cinq autres : la désignation d’un pilote de la conformité.
Il est fortement conseillé de faire appel à un professionnel extérieur, que ce soit un Correspondant Informatique et Libertés (CIL) ou le futur « Data Protection Officer » (DPO) interne à votre entreprise. Un intervenant extérieur permet aussi d’apporter le recul nécessaire dans un processus de mise en conformité face à un règlement avec autant d’impacts que le RGPD. Toutefois, tous les services internes, et notamment, la DSI seront concernés.
Néanmoins, un CIL, un avocat spécialisé dans les données personnelles, ou votre futur DPO sera l’élément clé du processus, à même de maîtriser les outils de la conformité : mise en place d’un registre de traitements, l’adhésion à des codes de bonnes conduites, implanter le concept de « Privacy by design » dans l’entreprise.

Pour ce faire, l’acteur de la conformité aura à réaliser l’analyse d’impact c’est-à-dire une description systématique des opérations de traitements, permettant d’évaluer la nécessité et la proportionnalité des opérations aux finalités des traitements. Cette analyse ou « Privacy Impact Assessment » permettra également d’évaluer les risques pour les droits et libertés mais comportera, et c’est le point essentiel : les mesures pour faire face aux risques identifiés.

Toujours selon l’étude menée par l’AFCDP, les premiers concernés par le règlement européen (futurs DPO ; DSI ; service juridique) estiment leur maturité individuelle face au RGPD de 62 sur une échelle de 100, quand ils estiment la maturité collective de l’entreprise face au règlement à 35 sur 100.

Ainsi, au-delà de prioriser, cartographier, établir une feuille de route pour l’entreprise, son rôle le plus important sera de prendre part à la responsabilisation de chaque intervenant, chaque collaborateur dans le processus allant de la fabrication à la commercialisation du produit ou du service. Le mot d’ordre du jour est donc : sensibilisation et formation de l’entreprise, des top managers aux collaborateurs !

Par Muriel ASSULINE, Avocat et Fondateur du Cabinet d’Avocats ASSULINE & PARTNERS