À l’occasion de la 23ème édition du salon Documation les 29-30 mars derniers, des experts de la gestion de données en entreprises ont pris la parole concernant le RGPD, le nouveau règlement général sur la protection des données. À l’heure où l’exploitation de la data est au cœur des préoccupations des entreprises, la majorité d’entre elles sont loin d’avoir adopté les normes qui seront obligatoires lors de sa mise en vigueur le 25 mai 2018.

Le RGPD, quésaco ?

Le RGPD, ou Règlement général sur la protection des données, entrera en application le 25 mai 2018 dans tous les États membres de l’Union Européenne. Il est le fruit de longues années de négociation et se présente sous forme de 99 articles introduits par 173 considérants. Il doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique et a pour objectif de redonner aux citoyens le contrôle sur leurs données personnelles. Il induit donc de nouvelles obligations pour les entreprises qui doivent opérer d’importants chantiers internes pour répondre aux nouvelles normes. Céline Avignon, avocate au cabinet Alain Bensoussan, liste les principes clés du RGPD :

La protection des données devra se faire dès la conception d’un projet avec le consentement (ou non) des individus. Il faudra qu’il y ait une protection par défaut et minimiser la collecte des informations seulement à celles indispensables.

Parmi les 20 chantiers que les entreprises doivent entreprendre pour se conformer au RGPD, on retrouve l’obligation de changement de politique générale, la nomination du DPO (Data Protection Officer), la gouvernance en termes de données personnelles, l’instauration de registres, de contrats et de mentions obligatoires, une protection par la conception, la durée de conservation des données, une protection par défaut, l’accountability (le fait de prouver la conformité des données)…

Les principaux risques

Les entreprises qui s’opposent à ce changement ou qui renâclent à se mettre en règles encourent plusieurs sanctions. Non seulement l’atteinte à l’image de leur société mais aussi la perte de confiance des clients et donc d’opportunités. Et pour celles que ça n’arrêterait pas, en ne se mettant pas aux règles du RGPD elles s’exposent à de lourdes sanctions financières à hauteur du pourcentage de chiffre d’affaires. « Le fait d’appliquer le RGPD ne freinera pas le business, cela créera des opportunités pour le marketing. Le RGPD c’est un peu comme le droit de la concurrence, tout le monde pensait que ça desservirait les affaires, et en fait ça a provoqué tout l’inverse » ajoute Céline Avignon. Sophie Nerbonne, Directeur adjoint des affaires juridiques, internationales et de l’expertise à la CNIL, ajoute que « de nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des entreprises sera renforcée. Elles devront en effet assurer une protection optimale des données a chaque instant et être en mesure de la démontrer en documentant leur conformité. »

Où en sont les entreprises ?

C’est la question à laquelle répond Alain Le Bras, le Président d’Arondor (Arondor est spécialisé dans la gestion de la donnée non-structurée) en dévoilant les résultats de l’enquête SERDA. Réalisée auprès de plusieurs grandes entreprises, elle a pour vocation d’interroger le marché, d’évaluer les incertitudes et la connaissance des enjeux financiers et d’image.

Et les résultats sont parlants : 45 % des interrogés ignorent toujours le nouveau règlement européen. Pour les initiés, seuls 24 % en mesurent les impacts. Enfin, 76 % de l’échantillon n’a même pas idée de l’impact du règlement. Il y a donc « un long chemin à faire » comme l’exprime Alain Le Bras. Lorsqu’on les interroge sur les sanctions qui leur fait le plus peur, le tiers s’accorde pour dire que c’est la sanction financière, puis le déficit d’image qui leur pèserait le plus. Mais alors pourquoi ne se mettent-ils pas à la page ? 29 % répondent qu’ils manquent d’information, 26 % estiment qu’ils manquent de mobilisation en termes d’effectifs, de temps et de ressources. En conclusion : si 28 % du panel est sensibilisé à GDPR, 87 % des organisations ne seront pas prêtes en mai 2018 car près de la moitié n’ont encore rien prévu. Il y a encore un long chemin a parcourir pour toutes les organisations et un changement de culture à inscrire à tous les étages.

« Aujourd’hui quand on parle de données on parle de valorisation, demain il faudra penser protection » termine Alain le bras.

Quel impact sur l’architecture des systèmes d’information ?

Sophie Bouteiller, Directrice de mission et responsable des partenariats au CIGREF (Association de grandes entreprises françaises utilisatrices de technologies numériques indépendantes des fournisseurs) nous apprend que l’article 37 du RGPD impose la désignation d’un délégué à la protection des données (DPO) dans toutes les grandes entreprises (les banques, les compagnie d’assurances, les entreprises aux données sensibles comme le domaine de la santé, les entreprises du service public). Les activités de base du responsable du traitement exigent un suivi régulier et systématique à grande échelle. Ce traitement devra être effectué par une autorité publique ou un organisme public.

Le G29, dans ses lignes directrices adoptées le 16 décembre 2016, recommandait lui aussi la nomination d’un DPO. Celui-ci est le pilote, pivot, acteur de la mise en œuvre du RGPD. Il se constitue un réseau interne et externe, veille à la licéité des traitements et minimiser la collecte de données personnelles. Différent du Data Officer, il fait de l’accountability, du privacy by design (respect de la protection des données dès la conception) et du security by default. C’est également lui qui est en charge de déclarer toute violation des données à caractère personnel. Enfin, c’est lui qui tient la documentation des traitements, dont le registre de données. Il doit sans cesse faire de la pédagogie auprès du responsable de traitement et doit coopérer avec l’autorité de contrôle (la CNIL en France).