Numérique
Le règlement général sur la protection des données personnelles (RGDP) entrera en vigueur le 25 mai prochain. Le chrono est lancé. Les entreprises ont jusqu’à cette date pour se mettre en conformité. Olivier de Maison Rouge, avocat et membre de la commission permanente « secrets d’affaires » de l’AIPPI, du comité d’éthique du syndicat français de l’intelligence économique (SYNFIE) et vice-président de la Fédération Européenne des Experts en Cybersécurité (EFCSE), livre ses conseils en 3 questions/réponses pour bien se préparer en amont.
Avec l’adoption du RGPD, quelles sont les principales évolutions depuis la Loi informatique et libertés ?
La France avait longtemps fait figure de pionnier sur la question des données personnelles, dès 1978, en proposant un cadre légal protecteur des données personnelles. Cette grille doit désormais être révisée à la lueur du Règlement général européen de protection des données à caractère personnel. Si globalement il n’y a pas de bouleversement majeur, en revanche le citoyen est mis au cœur du contrôle sur ces données ; cela crée de nouvelles obligations pour les entreprises.
Ainsi, les données personnelles, principalement des fichiers clients, même en BtoB lorsqu’il y a sous-traitance, doivent désormais faire l’objet de la plus grande attention et leur utilisation répondre aux exigences de sécurité numérique. Leur gouvernance doit être davantage organisée en interne.
En effet, la déclaration préalable auprès de la CNIL de tout traitement de données (collecte, constitution de fichiers…) disparaît à compter du 26 mai 2018. En revanche, l’entreprise doit tenir, sous sa responsabilité, un registre reprenant l’ensemble des opérations réalisées et leur finalité.
Les titulaires de la donnée personnelle – c’est-à-dire les citoyens utilisateurs – , doivent désormais donner un consentement libre, éclairé et non équivoque pour chaque traitement. Cela appelle donc à davantage de vigilance des entreprises, ce d’autant que la coresponsabilité en matière de protection des données est désormais étendue à toutes entreprises participant au traitement : hébergement, e-mailing, infogérance…
Quelles sont les priorités avant l’échéance du 25 mai 2018 ?
Il convient dès à présent d’identifier l’ensemble des traitements réalisés par l’entreprise. C’est un travail d’audit et de cartographie tant interne qu’externe dans la mesure où des opérations font intervenir des prestataires.
Ensuite, il convient d’ouvrir le registre des traitements de données personnelles selon le format standardisé par le CNIL que je recommande.
Il faudra réviser la politique de confidentialité des données, d’une part, et l’architecture contractuelle, d’autre part.
Il convient, le cas échéant, de désigner en amont un DPO (délégué à la protection des données, ex-CIL, né du RGPD), et ce avant mai 2018. Il faut pour cela choisir le bon profil, car le DPO, désigné à cet effet, est force de conseil et d’assistance dans toutes activités de l’entreprise dès lors qu’elles touchent aux données personnelles. A titre d’exemple, chaque nouveau projet doit intégrer en amont une réflexion et si nécessaire un mode opératoire intégrant la protection des données personnelles ; le DPO doit avoir la science suffisante pour accompagner les équipes dédiées.
C’est dire que les implémentations de ces nouvelles dispositions successives doivent être savamment coordonnées et anticipées, dans la mesure où elles seront incontournables (notamment en regard des amendes susceptibles d’être prononcées) et constituent pour l’avenir un socle fondamental concernant la gestion de toutes données de l’entreprise.
Quels sont vos conseils opérationnels ?
Il convient de désigner les bons interlocuteurs internes et externes. De nombreux métiers au sein de l’entreprise seront directement ou indirectement impactés par cette nouvelle gouvernance de la donnée (outre les dispositions de la Loi Sapin 2 et celles relevant du secret des affaires).
Il faut dès lors harmoniser et rapprocher les actions opérationnelles et fonctionnelles pour s’éviter de vivre ces nouvelles obligations comme une contrainte, mais davantage comme un atout concurrentiel et le présenter comme tel.
Il faut savoir privilégier une approche transversale et complémentaire de nature juridique, technologique et s’assurer de la mise en place d’un service ou d’une personne dédié aux informations et alertes professionnelles internes, qui puisse éventuellement tout à la fois être le cas échéant DPO, référent de premier rang de la Loi Sapin 2, délégué à la protection des données stratégiques… cela se traduit in fine par l’émergence d’un nouveau métier tel que « responsable de la sûreté et de la conformité des données ».
Un article de la rédaction du Journal de l’éco