Le Règlement général sur la protection des données (RGPD ou GDPR en anglais) arrive à grand pas et les entreprises doivent s’y préparer. Pour beaucoup d’entre elles, l’échéance du 25 mai 2018 annonce un ultimatum inquiétant. Depuis plusieurs mois, les discours alarmistes pullulent et un grand nombre de sociétés jouent sur les peurs, en proposant des audits ou d’autres prestations onéreuses. Elles ne pourront finalement pas garantir une mise en conformité à 100%. Or, bien qu’il soit contraignant, le RGPD n’est pas insurmontable pour les entreprises. Il s’agit certes d’une épreuve, mais qui, bien menée, leur permettra de mettre en place une politique de gestion qualitative de leurs données.
En revanche, recourir à un prestataire externe dans l’espoir de pouvoir résoudre tous les prétendus maux du nouveau règlement ne serait d’aucune aide. Chaque entreprise ayant ses propres spécificités de gestion des données, la mise en oeuvre de solutions techniques adaptées va s’imposer . Une PME diffère d’une ETI et d’une grande entreprise. Et chaque secteur d’activité nécessite également une approche ciblée dans la définition des besoins de traitement des données.
Avant de céder à la panique et de prendre des décisions à la hâte, il est nécessaire de procéder par étape. La première phase, primordiale, vise à établir un bilan interne à l’entreprise. Il s’agit d’identifier les opérations à effectuer pour se mettre en conformité, de rédiger un cahier des charges.
Pour ce faire, autant savoir précisément ce qui est demandé par l’exécutif européen. Trois principes majeurs sont édifiés.
Ces trois objectifs autour du RGPD sont les suivants :
Ces trois points édictés par la Commission européenne fixent un cadre pour chaque entreprise. Ainsi, il sera plus facile à l’organisation concernée de savoir ce qu’elle doit changer en matière de traitement des données personnelles (des coordonnées aux données biométriques éventuellement collectées) : mise à jour, transmission, durée de conservation…
Cela lui permettra, en plus de se conformer au règlement, de (re)qualifier une base de données. Par ailleurs, une entreprise saura ce que chaque contact souhaite que l’on fasse avec ses informations (envoi de newsletters, proposition de nouvelles offres, etc.) et comment les gérer.
Cela ne veut donc pas dire qu’une règle arbitraire va entrer en vigueur. Les objectifs sont à appliquer selon un modèle en particulier. Est-il nécessaire pour toutes les entreprises d’engager ou de nommer un délégué à la protection des données (Data Protection Officer ou DPO) ? Quelles données seront à nettoyer et lesquelles doivent être gardées ? Comment assurer la transition vers une gestion des données conforme au RGPD ? Une solution est-elle d’emblée recommandée ?
Se pose aussi la question de savoir si les talents internes à l’entreprise peuvent suffire lors de cette première étape.
Ce que sous-entend également le RGPD, c’est l’introduction concrète du concept de Privacy by design, qui vise à mettre en place des mesures proactives et préventives de gestion des données personnelles. Pour une protection implicite et automatique de ces informations.
L’intégration de la notion de vie privée dès la conception des systèmes et services doit mener à une protection intégrale. Une sécurité de bout en bout, et ce durant toute la durée de la conservation des données.
Le respect de la vie privée des utilisateurs et les intérêts des particuliers restent les objectifs principaux de ce nouveau règlement. Car à travers la mise en place de ce concept de Privacy by Design, le défi à relever est désormais d’ordre technique et organisationnel. Les entreprises seraient alors engagées à ne plus collecter que les informations strictement nécessaires et à informer chaque contact lorsqu’elles souhaitent effectuer un traitement sur celles-ci. Ce qui en découlerait, c’est une connaissance plus pointue des clients. L’utilisation des données n’en seraient donc que plus qualitative et plus respectable des droits de chacun.
Ces éléments de responsabilité peuvent apporter une bonne image aux entreprises qui respectent la loi. Et leur permettre de tirer des profits plus qualitatifs de leurs bases de données requalifiées.
Enfin, si certaines parties du RGPD sont claires, d’autres restent soumises à l’interprétation de chacun. Concernant la durée de conservation des données, par exemple, à partir de quand une donnée devient-elle inutile ? Et jusqu’où situe-t-on l’intérêt légitime d’un traitement ?
Les réponses sont multiples. Elles doivent être adaptées au modèle d’entreprise concerné.
Le mise en conformité au RGPD est contraignante, bien sûr. Mais elle n’est pas bloquante pour les entreprises. La loi va certainement être complétée après la mise en application du 25 mai 2018. Même si les prochaines échéances ne sont pas encore connues.
C’est pourquoi une fois le constat interne effectué et la « to do list » engagée, le choix d’une solution adaptée se pose. La bonne solution est celle qui saura s’adapter aux règles de gestion de chaque organisation, tout en leur assurant un cadre commun et éprouvé. Et ce pour automatiser au maximum les formalités imposées par le nouveau règlement. La gestion des consentements, l’édition du registre des traitements, la portabilité ou encore le droit de rectification sont autant de points réglementaires qui peuvent s’avérer chronophages au quotidien. Il est donc opportun de les automatiser pour libérer les organisations et leur offrir plus de sérénité.
Lire également :
RGPD : chez Noveane, la conformité passe par ServiceNow
GDPR : un levier pour l’économie numérique européenne (avis d’expert)
Le marché de la cybersécurité continue de se transformer à un rythme effréné, poussé par…
Barracuda, spécialiste des solutions de cybersécurité « cloud-first », lance sa Partner Sales Engineer Community.…
Dans le cadre d'une enquête mondiale regroupant 1 800 participants au total, 200 décideurs informatique…
Lors du Dell Tech Forum, Dell Technologies est revenue sur les dernières avancées de sa…
TD SYNNEX France introduit TECHx, un nouveau format d’événements destiné à rassembler l’écosystème IT, incluant…
Invité à s'exprimer lors de la pleinière partenaires du Dell Tech Forum, Sébastien Verger, CTO…
