Nouveau texte de référence européen en matière de protection des données personnelles à destination des entreprises, le RGPD devra être mis en application dans l’ensemble des États membres de l’Union Européenne en date du 25 Mai 2018.
À moins d’un an de son entrée en application, où en sont les entreprises françaises ?
Le RGPD, qu’est-ce que c’est ?
« General Data Protection Regulation », ou en Français, le « Règlement Général sur la Protection des Données », le RGPD est un texte d’envergure européenne qui remplace en France la Directive sur la Protection des Données Personnelles de 1995.
Le RGPD a pour objectif premier d’apporter une harmonisation législative à l’échelle européenne, en proposant un seul et même ensemble de règles relatives à la protection des données.
Ensuite, il se prévaut de vouloir « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement règlementaire des entreprises ».
Vaste chantier qui concerne les entreprises qui, par leur activité, sont amenées à manipuler et à stocker des données personnelles.
Où en sont les entreprises françaises ?
Alors que l’échéance approche à grands pas, bon nombre de nos entreprises nationales sont loin d’être prêtes pour une mise en conformité aux dispositions du RGPD.
En effet, la majorité d’entre elles n’a pas encore pris de disposition et d’initiative dans ce sens.
D’après une étude de l’IDC, seules 9 % des entreprises françaises ont, à l’heure actuelle, entrepris les démarches nécessaires. Cette étude fait également ressortir le fait qu’un bon nombre d’entre elles ne semble même pas mis au courant de l’existence du RGPD.
Une étude Umanis, elle, nous apprend que 67 % des entreprises ne sont encore qu’en phase de veille.
Par conséquent, on comprend bien qu’elles seront nombreuses à ne pas être conformes au Jour J…
Que faire ?
Afin qu’une entreprise puisse être considérée comme prête à répondre aux exigences du RGPD, il faut que des mises en conformités à plusieurs niveaux soient validées :
- La priorisation des actions à entreprendre.
- La sécurisation des données.
- La mise en place du « Privacy by Design ».
- La maîtrise des risques en cas de vol de données ou de cyberattaque.
Pour cela, les entreprises doivent agir autant sur le plan méthodologique, que sur le plan juridique ou encore technique.
- La première étape est de rapidement lancer le projet de mise en conformité auprès de la Direction, c’est elle qui doit impulser le programme par un engagement ferme de sa part.
- Vous devez également définir les niveaux d’implication des différents acteurs de ce projet : DSI, DPO, RSSI…I
- Il est nécessaire que vous procédiez à un état des lieux des moyens techniques et organisationnels déjà mis en place au sein de votre entreprise : cela revient à identifier les données que vous traitez et stockez, leur degré d’impact ainsi que le risque qu’elles représentent sur la vie privée et d’évaluer la maîtrise que vous avez sur elles.
- Concernant ces données, vous devez par ailleurs éclaircir certains éléments tels que leur durée de conservation et donc à quel moment il est possible de les détruire.
De cette manière, vous pouvez vous rendre compte de ce que vous mettez déjà en œuvre et de ce qu’il vous reste à déployer.
D’un point de vue juridique, vous devrez également être capable, à partir du 25 Mai 2018, de prouver que les données que vous manipulez sont protégées. Préparez-donc la tenue de répertoires d’activités liés au traitement des données, qui pourront faire office de preuves.
Si votre organisation embauche plus de 250 salariés ou dès lors que vous effectuez du traitement à grande échelle de données sensibles, vous devez savoir que le RGPD vous impose le recrutement d’un Data Privacy Officer (DPO). Ce DPO aura pour mission d’orchestrer votre mise en conformité avec les dispositions de la règlementation européenne, tout en contribuant à la valorisation des données dans un contexte sécurisé. Il est donc temps de recevoir quelques profils !
L’application du RGPD n’est pas anodine, elle impacte de nombreux métiers de l’entreprise et suppose donc une révision organisationnelle importante.
Sa mise en conformité doit être envisagée sur le long terme et intégrée à part entière à une politique de gestion des données.
Vous pourrez ainsi en tirer tout le bénéfice puisque que grâce à l’application de la RGPD, les données personnelles européennes devraient atteindre une valeur de près d’un billion d’euros d’ici à 2020, soit un véritable atout économique !
Anne, Responsable Marketing chez Apsynet