RGPD pour l’entreprise : comment se décline le règlement européen ?

La déclinaison du règlement européen sur la protection des données (RGPD) à l’échelle de l’entreprise

Depuis le 25 mai 2018, l’ensemble des entreprises qui, dans le cadre de leurs activités, recensent et traitent des données personnelles se doivent de respecter les dispositions du RGPD. Cela vaut pour les données relatives à la situation personnelle des clients et des fournisseurs de l’entreprise comme pour celles qui concernent les salariés et les collaborateurs. Les enjeux sont importants puisque les entreprises et groupes s’exposent à de lourdes sanctions financières pouvant atteindre 4 % de leur chiffre d’affaires mondial en cas de non-conformité constatée au nouveau règlement européen. La Commission Nationale Informatique et Libertés (CNIL) devrait réaliser plusieurs centaines de contrôles par an.

En outre, la rigueur apportée au traitement des données impacte de plus en plus fortement la réputation des entreprises et le niveau de confiance inspiré par ces dernières.

Évaluation des dispositifs mis en place par les entreprises

Si le RGPD allège les démarches administratives à réaliser en direction de la CNIL, il responsabilise davantage les entreprises en exigeant la mise en œuvre d’un dispositif visant au respect de la vie privée et à la protection des données personnelles dès la conception (Privacy by design). La plupart des entreprises ont aujourd’hui accompli un travail important en vue de mettre en conformité leurs procédures internes. Dressons un état des lieux des actions qui devraient déjà avoir été engagées.

La désignation d’un délégué à la protection des données (DPD) est fortement recommandée. Elle est une obligation pour les entreprises qui se livrent à un suivi régulier et systématique des personnes ou qui ont fréquemment à connaître de données « sensibles ». La lettre de mission confiée au DPD doit être claire. Le délégué informe et conseille les responsables du traitement des données ainsi que les sous-traitants, pilote la mise en place du dispositif, veille au respect du règlement, engage les études d’impact nécessaires, répond aux demandes de l’autorité de contrôle.

Une cartographie des risques recense les données détenues, leur localisation, leur circuit de diffusion et de circulation, leur durée de conservation. Les études d’impact traitant des données les plus “sensibles” (santé, condamnations pénales, opinions politiques et religieuses…) y sont annexées. Cette cartographie permet de mettre en oeuvre les premières mesures de protection des données personnelles. 

Les processus internes sont organisés. Tous les services sont en capacité d’appliquer les procédures et dispositifs de protection des données. Un système efficace de remontée d’information permet de faire face, le cas échéant, à la survenue d’incidents. Le délégué à la protection des données identifie les besoins en formation des personnels intervenant dans le traitement des informations.

Une documentation fait la démonstration de la bonne application des dispositions du RGPD. Elle comprend notamment le registre de traitement des données, les formulaires destinés aux personnes intéressées (recueil du consentement, réclamations et demandes d’information…), les contrats avec les sous-traitants…

Définition des missions nouvelles et engagement des moyens nécessaires au traitement des données

Les mécanismes de protection des données doivent s’entendre de manière dynamique. Il s’agit d’intégrer cette dimension de façon transversale à travers l’ensemble des services de l’entreprise, d’organiser des processus internes et d’adapter ces derniers en fonction des évolutions réglementaires et de celles du marché.

Dans les groupes et les plus grandes entreprises, la mise en place du RGPD peut nécessiter la définition d’une véritable politique de ressources humaines et de recrutement. En effet, la recherche de profils variés permet de faire face aux besoins des entreprises. Les juristes en données personnelles ont en charge la veille juridique et initient les chantiers de mise en conformité avec la réglementation en vigueur. En raison de l’importance de sécuriser les applications informatiques et les postes de travail, la fonction de Chief Data Officer tend à se développer. Ce professionnel aguerri et particulièrement réactif, disposant d’une maîtrise experte des systèmes d’information, est en capacité de détecter les failles de sécurité et d’apporter une solution quasi immédiate.

Dans un contexte très concurrentiel, le traitement des données et des informations ne doit pas être appréhendé sous un angle exclusivement défensif. Par la compliance, le développement des pratiques éthiques est susceptible d’améliorer l’image et les performances de l’entreprise. De la même manière, l’utilisation efficace des informations disponibles est mise au service du business. Elle participe, en effet, à la définition des décisions stratégiques. Par ailleurs, elle constitue une aide pour l’exercice de certaines fonctions telles que le contrôle de gestion.

Le traitement des demandes et réclamations

Par les procédures qu’elles ont mises en place, les entreprises doivent être en mesure de répondre à toute demande légitime de leurs clients ou usagers qui peuvent ainsi accéder simplement à leurs données personnelles, en demander la rectification ou la suppression par l’exercice du droit à l’oubli. En outre, le RGPD consacre le droit à la portabilité qui permet à tout citoyen de demander l’exportation de ses données personnelles à tout organisme public ou privé.

L’organisation de procédures de prévention des risques efficaces permet, dans la grande majorité des cas, aux entreprises d’éviter l’apparition de réclamations contentieuses. En effet, le consentement des clients et fournisseurs est systématiquement sollicité par le biais d’un formulaire papier ou en ligne. Lesdits clients sont informés de l’utilisation qui sera faite de leurs données personnelles. Enfin, l’entreprise s’abstient de demander des informations qui ne seraient pas utiles au but recherché.

Mais malgré l’application scrupuleuse des dispositions du RGPD et les précautions prises, une faille de sécurité ou encore une défaillance interne peut conduire à un contentieux. Ce dernier est pris en charge par la direction juridique qui procède aux investigations nécessaires. Tout contentieux doit donner lieu à une évaluation des processus internes et, le cas échéant, à leur modification.

L’application du règlement général de protection des données influence en profondeur le fonctionnement des entreprises. Elle nécessite notamment le développement de pratiques éthiques dans la conduite des affaires. Elle participe à la création de nouvelles missions et fonctions qui ont vocation à être pérennisées.

Data et management de transition

Il est donc clair que les entreprises ne peuvent plus faire l’impasse sur cette fonction.

En cas de manque de ressource et pour assurer une protection optimale de l’entreprise, le management de transition peut être la solution idéale.

En effet, un expert en données personnelles apportera une expertise technique forte acquise en cabinets ou dans d’autres sociétés. Sa capacité à faire rapidement un bilan et à finaliser le déploiement d’un projet RGPD global, à aider les commerciaux qui peuvent être durement challengés par les clients sur ces questions, à les former et à transmettre à tous les interlocuteurs concernés ses connaissances des risques et des obligations, aidera l’entreprise à se mettre en conformité.

Un manager de transition expert en RGPD ne sera pas un coût mais un véritable investissement, rentable et bénéfique pour l’entreprise.

Le cabinet DESCLÈVES & Associés a déjà réalisé avec succès de nombreuses missions de management transition pour des postes d’experts RGPD, dans des ETI comme dans des grandes sociétés françaises et étrangères, qui ont toutes apprécié l’aide rapide, ponctuelle et efficace que cette solution leur a apportée.

Rédaction sous la supervision d’A. Desclèves.