RGPD : tout le monde en parle…

Le Règlement Général sur la Protection des Données entrera en vigueur dès le mois de mai prochain, le 25 précisément. Alors qu’une partie des entreprises TPE/PME/ETI y voit une montagne infranchissable, il faut sans doute relativiser quelque peu, revenir à des notions de bon sens, et faire attention à ce que l’on leur vend ou à ce qu’elles entendent.
Quelques éléments pour s’y retrouver.

Le changement principal.

La principale évolution en matière de protection des données est l’inversion de la responsabilité en matière de création des fichiers de données et leur traitement.

Avant, lorsqu’une entreprise créait un fichier recueillant des données personnelles, elle devait en faire la déclaration à la CNIL. Pour les entreprises qui appliquaient à la lettre ce dispositif,  la CNIL pouvait rendre un avis n’autorisant pas à mettre en oeuvre le fichier.
situation_avant
Si on fait le parallèle avec le domaine de la qualité, la CNIL effectuait une sorte de contrôle d’entrée du fichier produit (un aval ou un refus).

Désormais, une entreprise doit démontrer en permanence qu’elle respecte le cadre du règlement. L’autorité qui peut effectuer la vérification lorsqu’elle s’en saisit ou en est saisie, la CNIL pour la France, rendra un avis sur les dispositions que l’entreprise met en oeuvre pour satisfaire les exigences du règlement.
situation_apres
Si on fait le parallèle avec le domaine de la qualité, l’entreprise maîtrise sa conformité, et la CNIL suppose que ce que l’entreprise génère (fichiers et traitements) soit conforme et qu’elle en garde constamment les preuves (traçabilité). Ces preuves seront fournies à chaque fois que demandées par l’autorité chargée de la vérification : la CNIL pour la France.

RGPD et système de management de la qualité ou de l’environnement.

Une partie de la RGPD consiste en la maîtrise du système d’information de l’entreprise (ce qu’il contient et ce qu’il traite) et des prestataires de l’entreprise. Or des dispositions existent déjà dans les entreprises certifiées ISO9001 ou ISO14001. Il s’agit de la maîtrise documentaire. La notion de « document » est large !

Au lieu de faire « pousser une verrue » pour traiter l’organisation et la conformité à la RGPD, pourquoi ne pas l’intégrer au système de management de l’entreprise.

Avantages :

  • C’est dans le système donc en cohérence avec l’organisation de l’entreprise
  • Pour les prestations sous-traitées (informatique externalisée, ou prestataire externe), cela relève de la maîtrise du fournisseur avec un périmètre RGPD.
  • Cela peut être inclus dans le périmètre d’audit interne
  • Cela peut faire l’objet du traitement des non-conformités
  • Cela peut être inclus dans le champ des actions correctives et préventives.

Inconvénients :

  • La fonction « informatique » lorsqu’elle est intégrée dans l’entreprise peut être réfractaire à donner de la transparence à son activité. Il s’agit là d’une erreur, puisque le rôle du système de management est d’utiliser toutes les compétences et non de s’y substituer.

Attention aux fausses obligations !

La plus fréquente est le fait que l’on dise aux entreprises de se doter d’un délégué à la protection des données (Data Protection Officer).

Cette obligation est particulièrement restrictive et ne concerne que 3 types de structures : entreprises ou organisations publiques.
L’entreprise doit vérifier si elle entre dans le cadre de l’article 37, et 37-1-b.
Néanmoins, une personne chargée du projet peut être un atout en matière de structuration et de gestion.

En conclusion.

Il est impératif de prendre ce règlement avec sérieux, mais aussi avec un peu de calme : les mesures à prendre sont simples, ne requièrent pas d’investissement, mais nécessitent de la méthode. Il est souhaitable que l’entreprise aborde ce sujet, comme un projet, en hiérarchisant et planifiant ses phases, en s’abstenant de vouloir compliquer son dispositif.
La CNIL est un support d’information et de bonnes pratiques pour les entreprises qui souhaitent se lancer en autonomie. Pour les autres, les organismes de conseil, dont cat-conseil, sont là pour leur apporter leur concours.

Arno Delanchy
Consultant-formateur
Agilité et résilience de votre entreprise.

Liens utiles :
CNIL : se préparer au règlement (nouvel onglet)
CNIL : comprendre le règlement (nouvel onglet)
Les textes officiels (nouvel onglet)

Un commentaire sur “RGPD : tout le monde en parle…

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.