RGPD, jour J. Ce vendredi 25 mai 2018 entre en vigueur le Règlement Général pour la Protection des Données. Un texte dont l’objectif est de protéger la vie privée des citoyens. Pour les entreprises, qui doivent se mettre en conformité, ce texte européen est source d’inquiétude. Nathalie Devillier, professeure de droit et d’éthique à Grenoble Ecole de Management, et qui a ouvert une spécialité numérique et droit, revient sur les contours de ce nouveau règlement et les étapes à suivre pour les entreprises.

 


Le Règlement Général pour la Protection des Données (RGPD) entre en vigueur ce vendredi 25 mai. Quels sont les grands changements apportés par ce texte européen ?

Nathalie Devillier : Ce règlement est une chance pour les entreprises. En effet, jusqu’à présent, il n’y avait pas de standard commun. Une entreprise devait donc se conformer à 28 législations, ce n’est désormais plus le cas à partir du moment où l’entreprise est en conformité avec le RGPD. C’est donc plus simple.

Une entreprise française par exemple, aura toujours la CNIL (Commission Nationale de l’Informatique et des Libertés) pour autorité de rattachement, mais elle n’aura plus à entrer en contact avec les équivalents de la CNIL dans les autres pays européens.

Mais attention, le RGPD n’est pas un coup de baguette magique, il faut rester vigilant aux législations internationales, notamment en ce qui concerne les données de santé.

Quelles sont les étapes à suivre pour se mettre en conformité ?

Je considère qu’il y a sept grandes étapes à suivre.

La première chose à faire est de cartographier ses données, repérer tous les traitements fait en interne, les rassembler pour avoir une vision globale des données traitées par l’entreprise. Attention, si certaines données sont traitées en externe, il faut faire appel à un juriste pour aligner le contrat. Si l’entreprise est trans-sectorielle, elle devra avoir une vigilance accrue.

Il faut ensuite former ou embaucher une délégué à la protection des données.

Tenir un registre des activités de traitement auprès de la CNIL.

Réaliser une étude d’impact.

Assurer une totale transparence sur la collecte des données.

Alerter la CNIL en cas de violation de la vie privée.

Enfin, en cas de transfert des données vers des serveurs aux Etats-Unis, vérifier que le prestataire a déclaré sa conformité avec le privacy shield.

Les entreprises, et notamment les PME et les start-up qui n’ont pas toujours les moyens, craignent de ne pouvoir embaucher un DPO (Data Protection Officer, ou délégué à la protection des données). Sont-elles contraintes à l’embauche d’un DPO, et comment savoir que le DPO est digne de confiance et compétent ?

On ne le dit pas souvent, mais il est possible d’avoir un DPO volant sur plusieurs entreprises, notamment PME et start-up. Comme les consultants, ce DPO freelance pourra s’occuper de plusieurs mises en conformité.

Quant à savoir s’il est compétent, il faut bien entendu vérifier les antécédents de la personne. Mais l’on constate un problème dans le recrutement de ces délégués à la protection des données. Par exemple, les grandes entreprises requièrent dans les fiches de poste des professionnels ayant déjà une expérience avec le RGPD, c’est impossible ! Je conseille, lors de l’entretien, de vérifier si la personne est en mesure d’effectuer des fiches par exemple.

Il n’y a pas vraiment de formation sur le RGPD, mais il existe un certificat CIPP/e. Il y a également des applications, très pratiques pour avoir le RGPD dans la poche, par exemple GDPR fieldfisher ou GDPR now Hogan Lovells, ou encore, GDPR are you ready pour les débutants.

De plus, la CNIL a mis en place une ligne dédiée aux PME pour les accompagner.

Nommer un DPO est-il suffisant pour se mettre en conformité ?

Non, nommer un DPO n’est pas suffisant. Il est indispensable de former l’ensemble des équipes. Il est souhaitable, a minima, de consacrer un moment d’échange sur le RGPD afin de présenter le règlement et d’introduire le DPO auprès des collaborateurs. Ensuite, il faut montrer que ce RGPD est présent partout, et ne concerne pas uniquement le service informatique. Dans le meilleur des cas, il faudrait proposer des formations par des Mooc par exemple.

Ces formations permettent aux salariés d’avoir les bons réflexes : Que faire quand je reçois une demande d’accès d’un utilisateur, comment j’y réponds ?

Les chefs de projets et les services informatiques doivent particulièrement être formés et doivent communiquer avec le DPO.

Vous parliez du transfert des données aux Etats-Unis et de privacy shield, pouvez-vous détailler ?

Si les données de l’entreprise sont hébergées dans le cloud, elles ne sont évidemment pas dans les nuages, elles sont hébergées sur des serveurs, parfois à l’étranger. Le RGPD n’impose pas le rapatriement des données, les données appartiennent aux personnes physiques, en Europe, mais il faut être attentif à ce que le serveur ai rempli le Privacy Shield car le transfert de données à l’étranger est interdit.

Après la mise en conformité, comment l’entreprise doit-elle communiquer auprès de ses utilisateurs ?

La bonne pratique est d’envoyer un courriel indiquant que l’entreprise s’est mise en conformité avec le RGPD et détailler cela point par point. Je reçois de nombreux messages de lettres d’informations par exemple disant « si vous n’acceptez pas les nouvelles conditions, nous vous désinscrivons ». C’est exactement ce qu’il ne faut pas faire !