Comment se conformer au RGPD sans céder à la panique (avis d’expert)

News Channel
shutterstock ibm serveurs

Le Règlement général sur la protection des données (RGPD) n’est pas insurmontable. Au contraire, il peut se traduire par une connaissance plus pointue des clients et des gains pour les entreprises. C’est l’avis de l’éditeur CRM français Eudonet.

Le Règlement général sur la protection des données (RGPD ou GDPR en anglais) arrive à grand pas et les entreprises doivent s’y préparer. Pour beaucoup d’entre elles, l’échéance du 25 mai 2018 annonce un ultimatum inquiétant. Depuis plusieurs mois, les discours alarmistes pullulent et un grand nombre de sociétés jouent sur les peurs, en proposant des audits ou d’autres prestations onéreuses. Elles ne pourront finalement pas garantir une mise en conformité à 100%. Or, bien qu’il soit contraignant, le RGPD n’est pas insurmontable pour les entreprises. Il s’agit certes d’une épreuve, mais qui, bien menée, leur permettra de mettre en place une politique de gestion qualitative de leurs données.

En revanche, recourir à un prestataire externe dans l’espoir de pouvoir résoudre tous les prétendus maux du nouveau règlement ne serait d’aucune aide. Chaque entreprise ayant ses propres spécificités de gestion des données, la mise en oeuvre de solutions techniques adaptées va s’imposer . Une PME diffère d’une ETI et d’une grande entreprise. Et chaque secteur d’activité nécessite également une approche ciblée dans la définition des besoins de traitement des données.

Faire preuve de pragmatisme

Quentin Villette_Eudonet
Quentin Villette_Eudonet

Avant de céder à la panique et de prendre des décisions à la hâte, il est nécessaire  de procéder par étape. La première phase, primordiale, vise à établir un bilan interne à l’entreprise. Il s’agit d’identifier les opérations à effectuer pour se mettre en conformité, de rédiger un cahier des charges. 

Pour ce faire, autant savoir précisément ce qui est demandé par l’exécutif européen. Trois principes majeurs sont édifiés.

Ces trois objectifs autour du RGPD sont les suivants :

  • Le renforcement des droits des personnes, avec la création d’un droit à la portabilité des données personnelles, la sanctuarisation du “droit à l’oubli” (droit à l’effacement), une meilleure protection des mineurs, une gestion plus stricte des consentements… (principe de transparence).
  • La responsabilisation des acteurs traitant des données, impliquant également les sous-traitants, sur leur mise en conformité au RGPD dès la conception d’un service (principe de responsabilité).
  • La mise en œuvre de mesures pour s’assurer du respect de la protection des données personnelles en limitant la quantité de données traitées dès la conception d’un produit ou service (principe du « Privacy by design »).

Ces trois points édictés par la Commission européenne fixent un cadre pour chaque entreprise. Ainsi, il sera plus facile à l’organisation concernée de savoir ce qu’elle doit changer en matière de traitement  des données personnelles (des coordonnées aux  données biométriques éventuellement collectées)  : mise à jour, transmission, durée de conservation…

Cela lui permettra, en plus de se conformer au règlement, de (re)qualifier une base de données. Par ailleurs, une entreprise saura ce que chaque contact souhaite que l’on fasse avec ses informations (envoi de newsletters, proposition de nouvelles offres, etc.) et comment les gérer.

Cela ne veut donc pas dire qu’une règle arbitraire va entrer en vigueur. Les objectifs sont à appliquer selon un modèle en particulier. Est-il nécessaire pour toutes les entreprises d’engager ou de nommer un délégué à la protection des données (Data Protection Officer ou DPO) ? Quelles données seront à nettoyer et lesquelles doivent être gardées ? Comment assurer la transition vers une gestion des données conforme au RGPD ? Une solution est-elle d’emblée recommandée ?

Se pose aussi la question de savoir si les talents internes à l’entreprise peuvent suffire lors de cette première étape.

Préparer un plan

Ce que sous-entend également le RGPD, c’est l’introduction concrète du concept de Privacy by design, qui vise à mettre en place des mesures proactives et préventives de gestion des données personnelles. Pour une protection implicite et automatique de ces informations.

L’intégration de la notion de vie privée dès la conception des systèmes et services doit mener à une protection intégrale. Une sécurité de bout en bout, et ce durant toute la durée de la conservation des données.

Le respect de la vie privée des utilisateurs et les intérêts des particuliers restent les objectifs principaux de ce nouveau règlement. Car à travers la mise en place de ce concept de Privacy by Design, le défi à relever est désormais d’ordre technique et organisationnel. Les entreprises seraient alors engagées à ne plus collecter que les informations strictement nécessaires et à informer chaque contact lorsqu’elles souhaitent effectuer un traitement sur celles-ci. Ce qui en découlerait, c’est une connaissance plus pointue des clients. L’utilisation des données n’en seraient donc que plus qualitative et plus respectable des droits de chacun.

Ces éléments de responsabilité peuvent apporter une bonne image aux entreprises qui respectent la loi. Et leur permettre de tirer des profits plus qualitatifs de leurs bases de données requalifiées.

Enfin, si certaines parties du RGPD sont claires, d’autres restent soumises à l’interprétation de chacun. Concernant la durée de conservation des données, par exemple, à partir de quand une donnée devient-elle inutile ? Et jusqu’où situe-t-on l’intérêt légitime d’un traitement  ?

Les réponses sont multiples. Elles doivent être adaptées au modèle d’entreprise concerné.

Passer à l’action

Le mise en conformité au RGPD est contraignante, bien sûr. Mais elle n’est pas bloquante pour les entreprises. La loi va certainement être complétée après la mise en application du 25 mai 2018. Même si les prochaines échéances ne sont pas encore connues.

C’est pourquoi une fois le constat interne effectué et la « to do list » engagée, le choix d’une solution adaptée se pose. La bonne solution est celle qui saura s’adapter aux règles de gestion de chaque organisation, tout en leur assurant un cadre commun et éprouvé. Et ce pour automatiser au maximum les formalités imposées par le nouveau règlement. La gestion des consentements, l’édition du registre des traitements, la portabilité ou encore le droit de rectification sont autant de points réglementaires qui peuvent s’avérer chronophages au quotidien. Il est donc opportun de les automatiser pour libérer les organisations et leur offrir plus de sérénité.

par Quentin Villette, chargé de marketing chez Eudonet

Lire également :

RGPD : chez Noveane, la conformité passe par ServiceNow

GDPR : un levier pour l’économie numérique européenne (avis d’expert)

crédit photo de une © shutterstock