La date limite de mise en conformité avec le RGPD approche, et de nombreux acteurs, entreprises comme États, tardent à se mettre en conformité. Les entreprises qui ne seraient pas prêtes le 25 mai 2018 risquent, en théorie, de lourdes amendes. Petit état des lieux autour de cette mise en conformité aux allures de révolution.
Les données personnelles deviennent un bien à part entière
Le RGPD pour « Règlement Général pour la Protection des Données », ou GRPD en anglais, est une directive européenne votée en avril 2016 et dont l’objectif est d’uniformiser les législations nationales sur le sujet de la protection des données personnelles. Il s’agit donc d’un texte ambitieux et dense qui change substantiellement le statut des données personnelles. Celles-ci deviennent pratiquement un bien comme les autres, pouvant être cédées ou restituées. C’est ce que traduit par exemple le droit à la portabilité des données.
Le RGPD introduira aussi le concept de Privacy by design, ou Protection de la vie privée dès la conception. Le but est de créer un environnement de confiance en poussant tous les acteurs à intégrer la notion de confidentialité à tous les niveaux.
Le droit à l’oubli actuellement en vigueur en France, mais jugé trop contraignant à l’échelle européenne, va être remplacé par le droit à l’effacement, une version allégée, mais permettant tout de même à une personne de réclamer la suppression de ses données personnelles.
Un nouveau rôle au sein des entreprises va faire son apparition. Le délégué à la protection des données, dont le rôle sera de veiller au respect du RGPD et de servir d’interface entre l’entreprise et l’autorité nationale de protection des données. En France il s’agit bien sûr de la CNIL.
Enfin, point intéressant, le RGPD ne devrait pas créer de distorsion concurrentielle. Toutes les entreprises opérant en Europe y seront soumises. Ce principe d’extra-territorialité obligera par exemple les entreprises américaines ou chinoises à respecter le RGPD pour les données de citoyens européens.
Impact à tous les niveaux de l’entreprise
Comme on peut le constater, ce ne sont pas de petits changements qui vont survenir. Et malheureusement, depuis 2016, peu d’entreprises ont réellement fait le nécessaire en interne pour se mettre en conformité avec ce nouveau règlement. Selon Godefroy de Bentzmann, président du Syntec Numérique, il y a encore une large majorité d’entreprises françaises qui ne sont pas prêtes. Les seules à avoir rapidement pris en compte ces futurs changements sont bien sûr les grands groupes qui ont les moyens financiers et humains pour s’adapter. Ce n’est pas le cas des PME et de TPE qui pour certaines commencent à peine à prendre conscience du sujet. Autant dire qu’une bonne partie des entreprises françaises ne seront donc pas prêtes pour le 25 mai 2018. Cependant, pour éviter les sanctions, il sera tout de même nécessaire de montrer des preuves que des actions ont été menées.
A priori, toutes les directions de l’entreprise sont concernées par le RGPD, avec au premier rang la Direction des Systèmes d’Information, souvent moteur dans ce domaine. Parmi les mesures clés à mettre en place à ce niveau, on peut citer des mécanismes d’anonymisation et de chiffrement de données.
La Direction Marketing n’est évidemment pas en reste, surtout la partie Relation Clients qui pourra par exemple revoir la manière de collecter les données, et pourquoi pas réfléchir à minimiser les informations demandées, ceci afin de limiter les éventuels risques juridiques.
La Direction Achat peut également être concernée et bénéficier de ce chantier comme une opportunité de moderniser des process qui peuvent ne pas être automatisés et fiables. Ce peut aussi être l’occasion de revoir les contrats avec les fournisseurs ne respectant pas le RGPD et donc renégocier certaines conditions. Pour mener à bien ce changement, il est souvent conseillé de faire appel à des professionnels du domaine rompu à la conduite du changement comme Byo Group. Vous trouverez davantage d’information sur leur site web : https://byo-group.com/achats-et-relation-fournisseurs/
Les entreprises ne sont pas seules à être en retard, les États aussi
Il se trouve que dans ce grand chamboulement réglementaire, les entreprises qui ne sont pas encore prêtes peuvent se consoler en constatant que les États eux-mêmes ne sont pas encore prêts. En effet, la Commission de Bruxelles a récemment pointé du doigt les législations nationales de l’UE qui n’étaient pas encore en conformité avec le RGPD. Seules l’Allemagne et l’Autriche font figurent de bons élèves. Malheureusement, cela ne donnera pas de sursit aux entreprises. D’autant que la France devrait être dans les clous compte tenu du fait que le texte se trouve en cours de discussion à l’Assemblée nationale et devrait être entériné dans les semaines qui viennent.