La confor­mi­té de der­nière mi­nute au RGPD

À 15 jours de l’en­trée en ap­pli­ca­tion du RGPD, les en­tre­prises sont loin d’être conformes. Quelques me­sures pour prou­ver sa bonne foi, à dé­faut de sa confor­mi­té ef­fec­tive

Le Nouvel Économiste - - La Une - SOPHIE SÉBIROT

Dans deux se­maines, tous les or­ga­nismes, pu­blics comme pri­vés, trai­tant des don­nées per­son­nelles des ci­toyens eu­ro­péens de­vront être conformes au Rè­gle­ment gé­né­ral sur la pro­tec­tion des don­nées (RGPD). Si la si­tua­tion est dé­jà bien avan­cée pour cer­taines struc­tures, d’autres voient ar­ri­ver l’échéance avec an­goisse car leur mise en confor­mi­té est loin d’être ac­quise. Re­com­man­da­tions de der­nière mi­nute pour être conforme a mi­ni­ma, avant le dé­but d’une nou­velle ère en ma­tière d’uti­li­sa­tion et de pro­tec­tion des don­nées per­son­nelles.

C’est un fait : en dé­pit de la mul­ti­tude de confé­rences, we­bi­nars et autres pu­bli­ca­tions des­ti­nées à ai­der les or­ga­ni­sa­tions à être conformes le jour J, ces der­nières ne se­ront pas toutes ni to­ta­le­ment conformes au RGPD le 25 mai pro­chain. Loin s’en faut. Se­lon une étude For­res­ter, dé­but 2018, “Il ne faut pas que le RGPD soit source d’an­goisse : Il n’est ja­mais trop tard pour se mettre en confor­mi­té, car il s’agit d’un chan­tier co­los­sal”

seu­le­ment 26 % des en­tre­prises eu­ro­péennes étaient conformes au RGPD. “Pour cer­taines en­tre­prises, les der­nières re­com­man­da­tions à mettre en oeuvre sont plu­tôt les pre­mières”, note Me Gé­rard Haas, avo­cat et fon­da­teur du ca­bi­net Haas et

avo­cats. “Nous avons as­sis­té à une pé­riode d’at­ten­tisme de la part de cer­taines so­cié­tés qui n’ont pas pris la me­sure de l’am­pleur du chan­tier

de la mise en confor­mi­té”, confirme Pa­trick Tis­ser, consul­tant ma­na­ger chez NTT Se­cu­ri­ty. Un autre point tout aus­si avé­ré est qu’il est im­pos­sible pour une so­cié­té d’être à 100 % conforme au RGPD en quelques se­maines. Des me­sures de der­nière mi­nute s’im­posent donc pour dé­mon­trer la bonne foi et la vo­lon­té des or­ga­ni­sa­tions d’y être conforme. “Pour les re­tar­da­taires, il convient de prio­ri­ser les ac­tions et d’évi­ter d’agir dans l’ur­gence au risque de mal faire”, in­siste Ra­phaël Brun, ma­na­ger en charge du pro­jet RGPD chez Wa­ves­tone. Me Haas dé­dra­ma­tise : “Il ne faut pas que le RGPD soit source d’an­goisse : il n’est ja­mais trop tard pour se mettre en confor­mi­té, car il s’agit d’un chan­tier co­los­sal”.

La check-list de der­nière mi­nute

Si la CNIL n’at­tend pas une confor­mi­té à 100 % des en­tre­prises, il im­porte néan­moins d’être conforme sur les points ma­jeurs du texte, au

risque de sanc­tions graves. “La pre­mière ques­tion qu’une en­tre­prise doit se po­ser est dans quelle me­sure elle est concer­née par le RGPD. À par­tir de là, il convient de mettre en place des me­sures adé­quates”, fait re­mar­quer Paul-Oli­ver Gi­bert, ex­pert pour les As­sises de la sé­cu­ri­té et pré­sident de l’AFCDP (As­so­cia­tion fran­çaise des cor­res­pon­dants à la pro­tec­tion

des don­nées per­son­nelles). La check-list de der­nière mi­nute de­vrait com­por­ter les points sui­vants : “dé­si­gner un pi­lote, même si la struc­ture n’est pas dans un contexte où elle en au­rait l’obli­ga­tion ; ef­fec­tuer le re­cen­se­ment des trai­te­ments de don­nées per­son­nelles et s’in­ter­ro­ger sur des grands thèmes tels que la mi­ni­mi­sa­tion des don­nées col­lec­tées, les mo­da­li­tés d’in­for­ma­tions de re­cueil du consen­te­ment, l’iden­ti­fi­ca­tion des cas de re­cours aux sous-trai­tants ; mettre en oeuvre de me­sures vi­sant à as­su­rer la sé­cu­ri­té de don­nées et do­cu­men­ter l’en­semble des ac­tions me­nées, dans l’op­tique de dé­mon­trer la confor­mi­té à tout mo­ment”, fait va­loir Do­mi­nique Sou­lier, membre du conseil d’ad­mi­nis­tra­tion du Clu­sif (Club de la sé­cu­ri­té de l’in­for­ma­tion fran­çais).

Dé­si­gner un DPO ou un chef de pro­jet

La dé­si­gna­tion d’un DPO (Dé­lé­gué à la pro­tec­tion des don­nées) fait par­tie des me­sures à même de dé­mon­trer la vo­lon­té d’une en­tre­prise d’être conforme au

RGPD. “La no­mi­na­tion d’un DPO est conseillée car elle consti­tue une marque de res­pect du RGPD. Il s’agit donc d’un acte im­por­tant pour bien com­men­cer sa mise en confor­mi­té”, sou­ligne Paul-Oli­vier Gi­bert. Pour les grands groupes, NTT Se­cu­ri­ty

pré­co­nise la no­mi­na­tion de DPO

re­lais pour chaque fi­liale. “La mise en place d’un chef de pro­jet est idéale, mais toutes les struc­tures ne peuvent se le per­mettre pour des rai­sons de res­sources hu­maines ou fi­nan­cières”, note Mar­co Pas­qua­lot­to, di­rec­teur ju­ri­dique et af­faires ré­gle­men­taires de Hub One. Pour les PME, Ra­phaël Brun re­com­mande de dé­si­gner un DPO ex­terne : “il dé­cryp­te­ra le RGPD en leur in­di­quant ce qui est vrai­ment im­por­tant, les ac­com­pa­gne­ra et leur évi­te­ra d’en­ga­ger des dé­penses qui ne sont pas in­dis­pen­sables”.

Dis­po­serp d’un re­gistre g de trai­te­ment des don­nées

CNIL comme ex­perts le ré­pètent à l’en­vi : dis­po­ser d’un re­gistre de trai­te­ment des don­nées est pri­mor­dial. “À comp­ter du 25 mai, la charge de la preuve concer­nant la pro­tec­tion des don­nées per­son­nelles pè­se­ra sur les en­tre­prises. Les or­ga­ni­sa­tions doivent do­cu­men­ter tout ce qu’elles vont mettre en place pour pro­té­ger les don­nées per­son­nelles comme sen­sibles”,

ex­plique Mar­co Pas­qua­lot­to. “L’une des pre­mières choses à faire est de car­to­gra­phier les don­nées, puis de dé­fi­nir un plan d’ac­tion et mettre en oeuvre une dé­marche qua­li­té”, pré­cise Me

Haas. “Il est im­por­tant de sa­voir quelles don­nées sont col­lec­tées, pour­quoi, pour com­bien de temps et d’ap­pli­quer le prin­cipe de mi­ni­mi­sa­tion

des don­nées”, ex­plique Da­rine Fayed, res­pon­sable ju­ri­dique de la so­cié­té d’emai­ling Mail­jet.

Le consen­te­ment des clients

La pro­tec­tion des don­nées per­son­nelles im­po­sée par le RGPD né­ces­site de re­cueillir le consen­te­ment des clients pour les uti­li­ser. “Lorsque l’on dis­pose du consen­te­ment des per­sonnes, il est im­por­tant

“La pre­mière ques­tion qu’une en­tre­prise doit se ppo­ser est dans qquelle me­sure elle est concer­née par le RGPD. À par­tir de là, il convient de mettre en place des me­sures adé­quates.” Paul-Oli­ver Gi­bert,AFCDP.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.