Le Règlement Général sur la Protection des Données entrera en vigueur le 25 mai 2018 prochain. Il est donc grand temps de vous y intéresser si ce n’est déjà fait. En tant que professionnel de la donnée, Limpida a mis en place tous les protocoles nécessaires au respect de cette loi.
Impulsée au niveau européen, elle vise à protéger le citoyen et à lui redonner le contrôle de ses données personnelles. En France, la CNIL oeuvrait déjà dans de ce sens depuis de nombreuses années. La démarche est maintenant poussée au niveau européen. En effet le développement implacable des GAFA a poussé Bruxelles à protéger davantage les données de ses citoyens et le récent scandale Facebook / Cambridge Analytica n’a fait que conforter cette volonté.
A priori, en entreprise, les services marketing seraient les premiers concernés. On pense biens sûr aux bases de données prospects ou clients et leur utilisation via des campagnes d’emailing qui devront être conditionnées par l’opt-in (le consentement explicite préalable) des destinataires mais avez-vous pensé aux données clients collectées par le contrôleur de gestion pour votre facturation ? Pour vos services commerciaux ? Aux données contenues dans les CV collectés par le service RH ou toute BU en phase de recrutement ? Elles sont également sujettes au respect du RGPD.
Concrètement, il s’agit d’informer tous les interlocuteurs dont vous traitez ou conserver les données des différents droits que le RGPD leur confère : droit d’accès et rectification, retrait du consentement, droit à la portabilité des données, droit d’opposition au profilage… A vous donc de mettre les protocoles internes nécessaires en place pour être en mesure de répondre à ces demandes.
A l’heure où nous publions cet article, nombre d’entre vous ont déjà pris leurs dispositions. Si jamais vous êtes en retard sur le sujet : pas de panique ! La date du 25 mai n’est pas à envisager comme un couperet définitif. Ces échéances de transition et de mise en conformité font en effet le bonheur de certains métiers de conseil juridiques. Ces derniers n’hésitent pas à faire peur en égrénant la liste des sanctions prévues par la loi et à mettre une certaine pression sur leurs clients potentiels pour les protéger et les mettre en conformité, moyennant un prix substantiel.
L’essentiel est d’avoir concrètement entrepris les démarches nécessaires dont le temps de réalisation et de réflexion préalable ne sont cependant pas à sous-estimer : désigner un responsable de ce projet (Data Protection Officer), permettre techniquement aux intéressés (comme nous l’avons cité plus haut) l’accès à leurs données, centraliser ces données dans l’entreprise (fini les listings éparpillés entre services ou collaborateurs), en renforcer la sécurité et les conditions d’accès, assurer la confidentialité des salariés traitant ces données, vérifier que vos sous-traitants font de même et bien d’autres choses encore…
Nous vous conseillons les liens suivants qui permettront de vous organiser efficacement.
– Au niveau du système d’information, voici les recommandations très complètes du Cigref, de l’AFAI et Tech In France.
– Les recommandations de préparation de la CNIL en 6 étapes