Une nécessaire sensibilisation au RGPD/GDPR (avis d’expert)

L’arrivée en 2018 du Règlement général sur la protection des données (RGDP ou GDPR) rend plus pressante la sensibilisation des collaborateurs aux enjeux de sécurité de l’information. C’est l’avis de Michel Gérard, président de Conscio Technologies.

Le Règlement général sur la protection des données (RGDP ou GDPR, en anglais) va profondément changer la donne en matière de gestion des données à caractère personnel. Dans ce contexte, les entreprises manipulant, exploitant et hébergeant des données vont devoir repenser leur modèle pour se conformer à cette nouvelle loi.

Le RGPD constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Après quatre années de négociations législatives, le nouveau règlement européen sur la protection des données a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions seront directement applicables dans l’ensemble des 28 États membres de l’UE à compter du 25 mai 2018.

L’article 39 du RGPD définit également les missions du nouvel acteur clé du dispositif : le délégué à la protection des ponnées (DPO). Parmi celles-ci, on trouve :

« Contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données… y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement… ».

Au regard de cette définition, on comprend que les exploitants de données vont devoir intégrer très rapidement de nouvelles pratiques de gouvernance.

Sensibiliser les collaborateurs

Par ailleurs, indépendamment des aspects règlementaires, il apparait indispensable de sensibiliser les personnes aux enjeux liés à la protection de ces données. En effet, leur divulgation ou leur mauvaise utilisation est susceptible de porter atteinte au droit à la vie privée et aux libertés des personnes.

Un effort est nécessaire pour aborder et maîtriser les éléments fondamentaux tels que :

– Les risques liés au traitement de données à caractère personnel (DCP)
– Le traitement des DCP et des données sensibles
– Le cadre juridique de la protection des DCP
– Les obligations d’un responsable de traitement
– Les droits des personnes face aux traitements de leurs DCP
– La protection des DCP au quotidien
– Le rôle du DPO et du CIL (correspondant informatique et libertés)…

Le maillon faible qui pourrait impacter les entreprises au regard des nouvelles dispositions du RGPD est donc avant tout lié à la maîtrise de ses spécificités par les collaborateurs. Il convient de traiter ce problème au plus vite et de positionner la formation des équipes comme une priorité stratégique. Ce point est un élément sensible qui impose de prendre des mesures opérationnelles concrètes à grande échelle. Une fois encore la formation des Hommes est un axe de vigilance à ne pas sous-estimer.

Former « sans contraintes »

Attention aussi à utiliser des formats adaptés qui permettent de se former « sans contraintes » et de s’appuyer sur des cursus attractifs. Ce point permet de faire la différence par rapport aux approches présentielles. Ces dernières étant souvent complexes à mettre en œuvre. En ce sens le numérique offre une réponse pertinente.

Passer au RGPD nécessite un travail de fond pour en intégrer les subtilités et se conformer à cette réglementation. Une réglementation qui protégera les utilisateurs sur l’usage de leurs données à caractère personnel. Les directions générales doivent en prendre conscience et intégrer cette thématique stratégique à leur gouvernance opérationnelle.

Par Michel Gérard, président de Conscio Technologies

Lire également :

Wannacry : former, le remède anti-ransomware de l’IT ?

Conscio Technologies recherche revendeurs et intégrateurs

TAGS ASSOCIÉS