Le Règlement Général sur la Protection des Données entrera en vigueur dès le mois de mai prochain, le 25 précisément. Alors qu’une partie des entreprises TPE/PME/ETI y voit une montagne infranchissable, il faut sans doute relativiser quelque peu, revenir à des notions de bon sens, et faire attention à ce que l’on leur vend ou à ce qu’elles entendent.
Quelques éléments pour s’y retrouver.
Le changement principal.
La principale évolution en matière de protection des données est l’inversion de la responsabilité en matière de création des fichiers de données et leur traitement.
Avant, lorsqu’une entreprise créait un fichier recueillant des données personnelles, elle devait en faire la déclaration à la CNIL. Pour les entreprises qui appliquaient à la lettre ce dispositif, la CNIL pouvait rendre un avis n’autorisant pas à mettre en oeuvre le fichier.
Si on fait le parallèle avec le domaine de la qualité, la CNIL effectuait une sorte de contrôle d’entrée du fichier produit (un aval ou un refus).
Désormais, une entreprise doit démontrer en permanence qu’elle respecte le cadre du règlement. L’autorité qui peut effectuer la vérification lorsqu’elle s’en saisit ou en est saisie, la CNIL pour la France, rendra un avis sur les dispositions que l’entreprise met en oeuvre pour satisfaire les exigences du règlement.
Si on fait le parallèle avec le domaine de la qualité, l’entreprise maîtrise sa conformité, et la CNIL suppose que ce que l’entreprise génère (fichiers et traitements) soit conforme et qu’elle en garde constamment les preuves (traçabilité). Ces preuves seront fournies à chaque fois que demandées par l’autorité chargée de la vérification : la CNIL pour la France.
RGPD et système de management de la qualité ou de l’environnement.
Une partie de la RGPD consiste en la maîtrise du système d’information de l’entreprise (ce qu’il contient et ce qu’il traite) et des prestataires de l’entreprise. Or des dispositions existent déjà dans les entreprises certifiées ISO9001 ou ISO14001. Il s’agit de la maîtrise documentaire. La notion de « document » est large !
Au lieu de faire « pousser une verrue » pour traiter l’organisation et la conformité à la RGPD, pourquoi ne pas l’intégrer au système de management de l’entreprise.
Avantages :
- C’est dans le système donc en cohérence avec l’organisation de l’entreprise
- Pour les prestations sous-traitées (informatique externalisée, ou prestataire externe), cela relève de la maîtrise du fournisseur avec un périmètre RGPD.
- Cela peut être inclus dans le périmètre d’audit interne
- Cela peut faire l’objet du traitement des non-conformités
- Cela peut être inclus dans le champ des actions correctives et préventives.
Inconvénients :
- La fonction « informatique » lorsqu’elle est intégrée dans l’entreprise peut être réfractaire à donner de la transparence à son activité. Il s’agit là d’une erreur, puisque le rôle du système de management est d’utiliser toutes les compétences et non de s’y substituer.
Attention aux fausses obligations !
La plus fréquente est le fait que l’on dise aux entreprises de se doter d’un délégué à la protection des données (Data Protection Officer).
Cette obligation est particulièrement restrictive et ne concerne que 3 types de structures : entreprises ou organisations publiques.
L’entreprise doit vérifier si elle entre dans le cadre de l’article 37, et 37-1-b.
Néanmoins, une personne chargée du projet peut être un atout en matière de structuration et de gestion.
En conclusion.
Il est impératif de prendre ce règlement avec sérieux, mais aussi avec un peu de calme : les mesures à prendre sont simples, ne requièrent pas d’investissement, mais nécessitent de la méthode. Il est souhaitable que l’entreprise aborde ce sujet, comme un projet, en hiérarchisant et planifiant ses phases, en s’abstenant de vouloir compliquer son dispositif.
La CNIL est un support d’information et de bonnes pratiques pour les entreprises qui souhaitent se lancer en autonomie. Pour les autres, les organismes de conseil, dont cat-conseil, sont là pour leur apporter leur concours.
Arno Delanchy
Consultant-formateur
Agilité et résilience de votre entreprise.
L'intelligence économique au service des entreprises TPE, PME, ETI 
Un commentaire sur “RGPD : tout le monde en parle…”