Le RGPD : Une opportunité profitable pour les entreprises !
Le RGPD avec ses 100 pages de textes semblent souvent une contrainte pour les entreprises, incontournable, source de coûts supplémentaires, générateur potentiel de conflits avec les consommateurs, etc…
Mais peut-être peut-on voir ce RGPD autrement…
Faisons un pas de côté pour voir les bénéfices que peut apporter le RGPD.
Depuis plus de 30 ans, les entreprises accumulent sous des formes diverses, (a)variées, dans une multitude de fichiers avec des données personnelles, planquées dans des sous-sous-sous-répertoires des ordinateurs des commerciaux, du service H, de la comptabilité, du SAV, etc.
La plupart du temps, on ne sait ni où, ni comment ont pu être récoltées ces informations.
On ne sait pas davantage qui peut avoir accès à ces données et pour quelle raison.
Si jamais il y a un partage avec des sous-traitants ou des fournisseurs, on atteint souvent le comble de l’opacité.
Dans certains cas, on ne sait même pas à quoi peuvent servir ces informations; mais on les conserve, au cas où…
Bref, quand on s’y intéresse, on découvre souvent une jolie panique numérique…
le RGPD est sans aucun doute l’opportunité de faire un grand ménage de printemps !
Grâce au RGPD, les entreprises font devoir mettre au clair leur gestion des données, sujet maintes fois repoussé aux calendes grecques.
Le RGPD en 4 étapes
1) Désigner un pilote RGPD
La mise en conformité d’une entreprise au RGPD est une activité transverse.
Elle ne doit pas être confiée au directeur des systèmes d’informations, ni à la direction commerciale, ni au service juridique.
Le « Délégué à la Protection des Données » (DPO ou Data Protection Officer) doit être une personne aux compétences diverses, capable de comprendre le fonctionnement des systèmes informatiques, le fonctionnement des services marketing et commercial, la gestion des RH, etc.
Le DPO doit avoir une expérience concrète de l’entreprise et de son fonctionnement. Rattaché à la Direction Générale ou à la Présidence, le DPO ne doit en aucun cas avoir de lien de hiérarchie avec les services qu’il va auditer et/ou conseiller pour la mise en place du RGPD.
2) Cartographier les données et les traitements
Ce peut être un parcours long et ingrat, mais c’est certainement la phase la plus enrichissante pour l’entreprise. En effet, à l’issu de cet étape, le dirigeant peut enfin avoir une vision exacte des données dont il dispose, des traitements effectués et des personnes impliquées, potentiellement ou effectivement.
Il conviendra de déterminer l’origine des données, et notamment comment ont été recueilli l’assentiment des personnes concernées, les traitements appliquées, les systèmes de sécurité et de confidentialité, etc.
Qualité des parties prenantes, statuts des différents intervenants, répartition des responsabilités seront des points qui pourront avoir une importante fondamentale en cas de procédures judiciaires (civiles ou pénales), que celles proviennent de l’entreprise elle-même ou de ses sous-traitants, voire même de ses fournisseurs ou de ses clients.
3) Se mettre en conformité avec le RGPD
Une fois posé le diagnostic numérique de l’entreprise, il conviendra de définir les moyens et les mesures à adopter pour se conformer aux dispositions du RGPD en mettant en place un plan d’action.
On veillera particulièrement aux éléments liés à la sécurité des données tant sur le plan technique que sur celui du respect des droits (assentiment, confidentialité, etc.), ainsi qu’à la mise en place d’une « gouvernance de la donnée » où seront définit les différents intervenants, leurs niveau d’implication et de responsabilité, etc.
4) Assurer un suivi régulier et constructif
Au quotidien, le DPO aura en charge la tenue du registre des traitements (obligatoire pour les entreprises de plus de 250 salariés, recommandé pour les autres). Il devra s’assurer du respect du droit des personnes et vérifier que l’ensemble des acteurs (internes et externes) respectent le RGPD notamment via l’élaboration d’une charte des bonnes pratiques.
Le DPO devra contrôler l’évolution du périmètre des données sensibles et vérifier que les relations avec les partenaires (fournisseurs, clients, prestataires) se conforment au RGPD.
Enfin, le DPO devra mettre en place un plan d’action en cas de fuites de données (toujours possibles quelles que soient les mesures de sécurité adoptées).
Quels bénéfices attendre du RGPD ?
Au-delà des économies réalisées par une meilleure connaissance de ses données et des traitements associés, les entreprises pourront trouver dans le RGPD un levier actif pour leur développement commercial.
Plusieurs études ont mis en évidence que les clients sont particulièrement sensibles au respect des données personnelles.
Les entreprises qui seront capable de démontrer leur implication dans la protection des données bénéficieront d’une meilleure image de marque et en tirer un bénéfice supplémentaire.