Protection des données : une évolution difficile à organiser

Le 25 mai 2018, le règlement européen de protection des données personnelles (RGPD) sera applicable. Pour autant, le chantier est immense et les entreprises ne seront sans doute pas immédiatement en conformité.

Le 25 mai 2018, le règlement européen de protection des données personnelles (RGPD) sera applicable. Pour les entreprises, cela représente un changement par rapport à la situation antérieure. La commission nationale informatique et libertés (CNIL) explique : « de nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. »

Dans la Revue pratique de la prospective et de l’innovation d’octobre 2017, Hélène Legras, DPO New AREVA et vice-présidente de l’association Data Protection Officers rappelait que « le RGPD, qui devait harmoniser les lois des pays de l’Union Européenne, permettra aux particularismes des lois nationales de perdurer. » Par exemple, le principe français du droit à la mort numérique restera.

Ce règlement prévoit de lourdes sanctions en cas d’infraction.

 

 Un métier qui change

Jusqu’à présent, les entreprises pouvaient nommer un correspondant informatique et libertés (CIL). A partir de mai 2018, elles auront obligation d’avoir un délégué à la protection des données (DPO ou data protection officier en anglais). Pour les petites structures, il est possible de le partager. Ce délégué aura le même statut que le CIL, mais ses qualifications devront être plus poussées, notamment sa connaissances spécialisées du droit et des pratiques en matière de protection de données. Connaissances qu’il devra entretenir avec de la formation continue. C’est d’ailleurs, selon l’analyse de Raphaël Brun, manager expert de la conformité RGPD, chez Wavestone, cabinet de conseil, « le facteur de coût le plus important est relatif aux nombres d’applications métier à faire évoluer, chacune d’entre elle pouvant nécessiter des investissements de plusieurs dizaines, voire plusieurs centaines de milliers d’euros ».

 

Six étapes pour être aux normes

La CNIL propose aux entreprises et aux institutions un plan en 6 étapes pour se mettre aux normes du RGPD. La première est de désigner un pilote pour la gouvernance des données personnelles en interne. Ensuite, il s’agit de « cartographier » les traitements de données personnelles.

Reste à prioriser les actions à mener, à gérer les risques, à l’aide d’une analyse d’impact sur la protection des données (PIA).

Puis organiser les processus internes pour prendre en compte la protection des données à tout moment.  Les sociétés d’édition de logiciel de ressources humaines ont étudié la question et proposent d’ores et déjà une automatisation de ces tâches.

Ceci fait, il faut « constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. »

 

Préparation difficile

Un vaste chantier que les entreprises ont mis en œuvre lentement. Selon Raphaël Brun, « les programmes ont mis du temps à se lancer, et la prise de conscience des impacts du règlement, de la taille des programmes et des budgets à déployer en a été retardé. Pour autant, depuis le début de l’année 2017, de nombreux programmes sont à présent dans leur phase de remédiation et des premières solutions émergent. Toutefois, tous les chantiers ne pourront être terminés pour mai 2018. »

Les grandes entreprises sont, sans surprise, les mieux préparées.

Une enquête menée auprès de 340 décideurs par la société SAS, spécialisée dans les logiciels analytiques, indique que « moins de la moitié des entreprises ont mis en place un plan structuré pour se conformer au règlement. 58 % ne maîtrisent pas totalement les conséquences d’une éventuelle non-conformité. »

Myriam Tricoci

Myriam Tricoci

Myriam Robert, journaliste depuis une vingtaine d'années, aborde l'actualité avec curiosité. Elle travaille pour la presse grand public et pour des revues spécialisées.
Myriam Tricoci
Myriam Tricoci

Myriam Tricoci

Myriam Robert, journaliste depuis une vingtaine d'années, aborde l'actualité avec curiosité. Elle travaille pour la presse grand public et pour des revues spécialisées.