RGPD / GDPR : contrainte ou opportunité pour l’entreprise ?

Depuis le 25 mai 2018 s’applique le Règlement Général sur la Protection des Données personnelles, lequel date du 27 avril 2016. Les entreprises et organismes concernés ont donc eu deux ans pour s’y conformer. Certes, les principes de base de la loi Informatique & Libertés perdurent : finalités, licéité, proportionnalité des traitements, droits des personnes, protection particulière des données sensibles. Mais ces principes sont renforcés dans le cadre d’une Union Européenne au droit unifié sur le sujet.

La Directive 95/46/CE, précédemment appliquée, a vécu ! Le RGPD change les règles en profondeur. Une expertise interne ou externe est donc nécessaire pour atteindre la « compliance ». Cela démarre par un état des lieux.

Le RGPD implique un changement de culture avec une simplification drastique des déclarations préalables, mais, en contrepartie, une très forte responsabilisation continuelle du responsable de traitement et des sous-traitants. Les sanctions prévues pour les « fautifs » ont été revues à la hausse (jusqu’à 4% du CA consolidé Année -1 ou 20 millions d’€). La CNIL, qui travaille désormais en pleine coopération avec les autres Autorités de Contrôle, a déjà exercé son pouvoir de sanction.

Le changement passe aussi par une gouvernance revue et un rôle nouveau: le(la) Délégué(e) à la Protection des Données. Il(elle) doit être choisi(e) et pas uniquement nommé(e). Il(elle) a pour mission de descendre l’information sur les bonnes pratiques à appliquer et être conseil quant aux outils à utiliser. Mais c’est aussi une tour de contrôle.

La pierre angulaire des nouveaux outils RGPD a pour nom le Registre des Traitements. Il doit être un miroir non déformant et particulièrement exhaustif de l’opérationnel. Autre outil: l’étude d’impact sur la vie privée. Elle apporte indirectement des garanties aux personnes devant l’exploitation exponentielle de leurs données.

Même si chaque responsable de traitement ou sous-traitant peut demander conseil à la CNIL, c’est à lui que revient en premier lieu la tâche d’appropriation du RGPD. C’est une formidable opportunité d’afficher les faces « secure », « compliance » et performance de son organisation. De quoi susciter la confiance des personnes, des clients et des partenaires. Ceci avec à la clé un avantage concurrentiel certain.