Un éclairage de Christian HUTEAU, Délégué ECTI 44
FAUT-IL AVOIR PEUR DU RGPD ?
La protection de nos données personnelles est au cœur de ce règlement Européen.
Cette disposition nouvelle est imposée à toutes les organisations privées et publiques
Christian HUTEAU, nouveau Délégué ECTI 44, a voulu en savoir plus
et nous en fait profiter
Le RGPD (Règlement Général de Protection des Données) est entré en vigueur le 25 mai 2018 dans toute la Communauté Européenne. Faut-il l’aborder comme une contrainte ou comme une opportunité ?
La France a un temps d’avance sur la question de la protection des données numériques de chaque citoyen grâce à l’existence d’une institution, la CNIL (Commission Nationale Informatique et Libertés), qui, rappelons-le, a été créée en 1987.
Le RGPD constitue d’abord une protection accrue des citoyens, qu’ils soient clients ou salariés d’une entreprise sur le traitement des données numériques qui auront été accumulées par les dites entreprises. Aujourd’hui avec le RGPD, la société Cambridge Analatyca, qui a détourné frauduleusement des comptes Facebook en 2017, serait certainement empêchée de le faire et en tout cas serait poursuivie. Le RGPD instaure de lourdes sanctions pour les organisations qui ne s’y conformeraient pas.
Le RGPD peut être considéré comme une contrainte insupportable pour les organisations, qui devront passer au crible leurs systèmes d’information existants et se mettre techniquement et juridiquement en conformité avec ce règlement. Du travail en perspective pour des bataillons d’avocats et pour les sociétés informatiques. Ce sera plus facile pour les grandes et moyennes entreprises ou les administrations dotées d’un service RH, d’un service commercial ou d’une équipe informatique qui pourrait confier ce travail à un DPO (Délégué la Protection des Données). Moins évident pour des petites entreprises et des associations pour qui la mise en conformité de leurs fichiers et de leurs applications représentera un coût important. Ces petites structures auront besoin de soutien, qui pourra prendre la forme d’une expertise extérieure, publique ou bénévole.
Il est important dans un premier temps de comprendre comment le RGPD va améliorer les droits des citoyens.
Dans un deuxième temps, nous verrons quelles obligations pèsent sur les organisations avec le RGPD et ensuite quelle est la démarche qu’elles devront adopter pour sécuriser leurs données privées.
Quels sont les principes protecteurs à l’œuvre dans le RGPD ?
1° la minimisation des données.
Les entreprises ne peuvent collecter que les informations personnelles qui répondent à leurs objectifs. Si une entreprise veut communiquer un document par Internet, seule votre adresse mail lui sera nécessaire. C’est ainsi que toutes les informations permettant d’identifier une personne sont concernées par le règlement. Il en va par exemple de données sensibles comme les références ethniques, les orientations sexuelles, les opinions politiques, les informations de santé.
2° le droit à l’accès.
Tout citoyen a le droit de demander aux organisations possédant des données personnelles sur lui d’être informés de la nature et l’exploitation de ces données, voire d’exiger leur rectification ou leur limitation, s’il le juge conforme à ses droits.
3° le consentement et le droit à l’oubli.
Pour que les informations personnelles deviennent accessibles à certaines organisations, qu’elles soient publiques et privées, le citoyen doit donner son accord. Le RGPD va encore plus loin : si un client d’une entreprise demande par exemple la suppression de données, il peut en faire la demande une fois que ces données auront été utilisées pour un objectif donné
4° le droit à la portabilité.
Tout client a le droit de récupérer l’ensemble des données le concernant pour le transmettre à une autre entreprise. Par exemple, le changement d’un opérateur téléphonique devra être facilité par la communication des données personnelles le concernant.
Quelles obligations pèsent sur les organisations ?
Rappelons avec insistance que la protection des données concerne aussi bien les clients et les prospects d’une entreprise que leurs salariés. La responsabilité de l’entreprise ne s’arrête pas à ses frontières, mais s’étend aussi aux sous-traitants qui traitent des données pour son compte.
Le premier principe qui s’impose aux organisations, c’est la minimisation des données, c’est-à-dire que l’entreprise qui recueille des données sur des clients dans un but commercial ne peut pas demander des informations qui ne sont pas nécessaires à sa politique commerciale. Ce principe doit être à l’œuvre dès la conception d’une application, d’un service, d’un produit. Dans le cas où l’entreprise a déjà implanté les outils de sa politique commerciale, elle devra procéder à un nouveau paramétrage.
L’entreprise pourra par exemple rendre anonymes ses données personnelles, en coupant le lien des données avec l’identité de ses clients. Notion très importante aujourd’hui avec l’émergence du « big data » Il faut souligner que le RGPD ne s’applique pas à des données anonymes.
Le deuxième principe, c’est la confiance avec les clients et les salariés que les organisations doivent établir. Cette confiance sera basée sur la compréhension et l’accessibilité des informations communiquées par une entreprise à l’égard de ses clients. Est-ce que cela sonnera la fin des conditions particulières dans les contrats, rédigées en langage abscons et en tous petits caractères ? Sommes-nous à l’aube d’une information, claire, précise, qu’elle soit communiquée oralement ou par écrit ? On ne peut que le souhaiter.
Quels objectifs doit se donner une organisation pour la mise en place du RGPD ?
Toute organisation devra réfléchir à la mise en œuvre du RGPD à tous les niveaux de production de données personnelles : au moment de la collecte, dans la création de fichiers et bases de données, et également au moment du traitement de ces données. Rappelons que le champ du RGPD s’applique aussi aux sous-traitants, par exemple aux hébergeurs de bases de données ou de sites Internet.
La première étape consistera à faire un audit des systèmes d’information et des procédures existants dans le but d’identifier les écarts de conformité avec les principes du RGPD. L’entreprise engageant cette démarche devra dans un premier temps lister l’ensemble des données personnelles, les moyens utilisés (papier et support informatique), l’identification des données sensibles, leur finalité, leur traitement et leur durée de conservation. Cet audit pourra prendre la forme d’un registre es données et des traitements, qui permettra d’établir une cartographie des risques. Ce registre pourra ultérieurement être exigé par la CNIL. Il constitue un des points-clés de la réglementation. Les services supports concernés par cet audit, sont bien sur la Direction des Ressources Humaines, mais aussi les services commerciaux et le marketing
La mise en conformité constitue la deuxième étape de la politique de protection des données personnelles. Elle constitue une étape technique de paramétrage des données et de leur traitement en conformité avec la nouvelle réglementation. Un calendrier raisonnable de mise en conformité sera adopté.
Afin de consolider la confiance, une information sur la politique de confidentialité mise en œuvre par l’entreprise sera conduite auprès des clients ou des prospects et mettra l’accent sur les droits relatifs à la protection des données personnelles : droit d’accès, droit d’opposition, droit à l’effacement, droit à la limitation du traitement, droit à la portabilité,...
. En interne, l’entreprise ou toute organisation mettra en place les moyens pour l’adoption du RGPD. Différentes actions pourront être engagées : la sensibilisation et la formation des collaborateurs, la mise en place de processus liés aux droits des personnes, la mise à jour des relations contractuelles avec les sous-traitants, la mise en place d’un comité de pilotage, éventuellement la désignation d’un délégué à la protection des données.
. En externe, l’entreprise devra s’assurer du respect du RGPD par ses sous-traitants. L’entreprise est juridiquement responsable du respect du RGD par ses partenaires. Cela peut conduire par exemple à l’exercice d’un audit chez le sous-traitant qui contrôlera la façon dont celui-ci utilise les données, les mesures de confidentialité qu’il a mis en place et la durée de conservation prévue. Dans tous les cas, les contrats avec les sous-traitants, ainsi que les prestataires devront contenir une clause sur le traitement des données personnelles en accord avec le RGPD.
Rôle de la CNIL (Commission Nationale de l’Informatique et des Libertés)
La CNIL qui supervise l’adoption du RGPD en France donne deux objectifs-clés aux entreprises :
- chaque entreprise doit initier un diagnostic permettant d’identifier ses écarts de conformité avec le RGPD
- elle doit se donner un délai raisonnable pour être conforme
La CNIL a publié sur son site l’ensemble du RGPD et a notamment élaboré un guide d’adoption www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes de ce règlement européen à l’usage des organisations en six étapes.
En conclusion
Si le RGPD constitue un changement de culture professionnelle au sein des organisations, il constitue aussi une opportunité dont les entreprises peuvent attendre des bénéfices, au premier chef l’amélioration de la sécurité de ses données ainsi que le renforcement de son image de marque vis-à-vis de ses clients, ce qui peut présenter un avantage concurrentiel. C’est ce que n’hésitait pas à dire avec enthousiasme Eric Léandri, directeur du moteur de recherche QWANT, lors d’une émission de radio récente, se positionnant ainsi face au moteur Google, en situation de quasi-monopole.
Il appartient aux grandes entreprises de mobiliser leurs ressources internes pour engager ce changement et aux organisations de plus petite taille (TPE, associations, collectivités territoriales) de solliciter des ressources externes, par exemple par les canaux du bénévolat de compétences ou du mécénat de compétences.
La crainte légitime vis-à-vis d’une couche réglementaire supplémentaire doit laisser place à un sentiment de responsabilité à l’égard des collaborateurs, des clients et des différents partenaires. La transparence et la confiance doivent être au cœur de la relation individus/organisations.
Le RGPD va conduire nombre de TPE, d’associations, de collectivités à un besoin d’aide inévitable
Peut-on au sein d’ECTI Pays de la Loire leur apporter un service efficace sur ce sujet ?
C’est pour nous un nouveau sujet à traiter sans tarder
A suivre …
/https%3A%2F%2Fstorage.canalblog.com%2F74%2F13%2F1514612%2F126497288_o.png)
/https%3A%2F%2Fstorage.canalblog.com%2F37%2F32%2F1514612%2F126326888_o.jpeg)
/https%3A%2F%2Fstorage.canalblog.com%2F81%2F42%2F1514612%2F126315748_o.png)
/https%3A%2F%2Fstorage.canalblog.com%2F27%2F75%2F1514612%2F126293477_o.jpeg)
/https%3A%2F%2Fstorage.canalblog.com%2F49%2F67%2F1514612%2F124915589_o.jpg)
/https%3A%2F%2Fstorage.canalblog.com%2F88%2F26%2F1514612%2F120655143_o.jpg)
/https%3A%2F%2Fstorage.canalblog.com%2F48%2F04%2F1514612%2F114415812_o.jpg)