La conformité de dernière minute au RGPD
À 15 jours de l’entrée en application du RGPD, les entreprises sont loin d’être conformes. Quelques mesures pour prouver sa bonne foi, à défaut de sa conformité effective
Dans deux semaines, tous les organismes, publics comme privés, traitant des données personnelles des citoyens européens devront être conformes au Règlement général sur la protection des données (RGPD). Si la situation est déjà bien avancée pour certaines structures, d’autres voient arriver l’échéance avec angoisse car leur mise en conformité est loin d’être acquise. Recommandations de dernière minute pour être conforme a minima, avant le début d’une nouvelle ère en matière d’utilisation et de protection des données personnelles.
C’est un fait : en dépit de la multitude de conférences, webinars et autres publications destinées à aider les organisations à être conformes le jour J, ces dernières ne seront pas toutes ni totalement conformes au RGPD le 25 mai prochain. Loin s’en faut. Selon une étude Forrester, début 2018, “Il ne faut pas que le RGPD soit source d’angoisse : Il n’est jamais trop tard pour se mettre en conformité, car il s’agit d’un chantier colossal”
seulement 26 % des entreprises européennes étaient conformes au RGPD. “Pour certaines entreprises, les dernières recommandations à mettre en oeuvre sont plutôt les premières”, note Me Gérard Haas, avocat et fondateur du cabinet Haas et
avocats. “Nous avons assisté à une période d’attentisme de la part de certaines sociétés qui n’ont pas pris la mesure de l’ampleur du chantier
de la mise en conformité”, confirme Patrick Tisser, consultant manager chez NTT Security. Un autre point tout aussi avéré est qu’il est impossible pour une société d’être à 100 % conforme au RGPD en quelques semaines. Des mesures de dernière minute s’imposent donc pour démontrer la bonne foi et la volonté des organisations d’y être conforme. “Pour les retardataires, il convient de prioriser les actions et d’éviter d’agir dans l’urgence au risque de mal faire”, insiste Raphaël Brun, manager en charge du projet RGPD chez Wavestone. Me Haas dédramatise : “Il ne faut pas que le RGPD soit source d’angoisse : il n’est jamais trop tard pour se mettre en conformité, car il s’agit d’un chantier colossal”.
La check-list de dernière minute
Si la CNIL n’attend pas une conformité à 100 % des entreprises, il importe néanmoins d’être conforme sur les points majeurs du texte, au
risque de sanctions graves. “La première question qu’une entreprise doit se poser est dans quelle mesure elle est concernée par le RGPD. À partir de là, il convient de mettre en place des mesures adéquates”, fait remarquer Paul-Oliver Gibert, expert pour les Assises de la sécurité et président de l’AFCDP (Association française des correspondants à la protection
des données personnelles). La check-list de dernière minute devrait comporter les points suivants : “désigner un pilote, même si la structure n’est pas dans un contexte où elle en aurait l’obligation ; effectuer le recensement des traitements de données personnelles et s’interroger sur des grands thèmes tels que la minimisation des données collectées, les modalités d’informations de recueil du consentement, l’identification des cas de recours aux sous-traitants ; mettre en oeuvre de mesures visant à assurer la sécurité de données et documenter l’ensemble des actions menées, dans l’optique de démontrer la conformité à tout moment”, fait valoir Dominique Soulier, membre du conseil d’administration du Clusif (Club de la sécurité de l’information français).
Désigner un DPO ou un chef de projet
La désignation d’un DPO (Délégué à la protection des données) fait partie des mesures à même de démontrer la volonté d’une entreprise d’être conforme au
RGPD. “La nomination d’un DPO est conseillée car elle constitue une marque de respect du RGPD. Il s’agit donc d’un acte important pour bien commencer sa mise en conformité”, souligne Paul-Olivier Gibert. Pour les grands groupes, NTT Security
préconise la nomination de DPO
relais pour chaque filiale. “La mise en place d’un chef de projet est idéale, mais toutes les structures ne peuvent se le permettre pour des raisons de ressources humaines ou financières”, note Marco Pasqualotto, directeur juridique et affaires réglementaires de Hub One. Pour les PME, Raphaël Brun recommande de désigner un DPO externe : “il décryptera le RGPD en leur indiquant ce qui est vraiment important, les accompagnera et leur évitera d’engager des dépenses qui ne sont pas indispensables”.
Disposerp d’un registre g de traitement des données
CNIL comme experts le répètent à l’envi : disposer d’un registre de traitement des données est primordial. “À compter du 25 mai, la charge de la preuve concernant la protection des données personnelles pèsera sur les entreprises. Les organisations doivent documenter tout ce qu’elles vont mettre en place pour protéger les données personnelles comme sensibles”,
explique Marco Pasqualotto. “L’une des premières choses à faire est de cartographier les données, puis de définir un plan d’action et mettre en oeuvre une démarche qualité”, précise Me
Haas. “Il est important de savoir quelles données sont collectées, pourquoi, pour combien de temps et d’appliquer le principe de minimisation
des données”, explique Darine Fayed, responsable juridique de la société d’emailing Mailjet.
Le consentement des clients
La protection des données personnelles imposée par le RGPD nécessite de recueillir le consentement des clients pour les utiliser. “Lorsque l’on dispose du consentement des personnes, il est important