Le RGPD, la « To Do » liste de mise en conformité : comprendre ce qu’il faut faire, concrètement

Si le RGPD impose un ensemble de contraintes, il représente une opportunité stratégique pour une marque en valorisant son « capital confiance » auprès des consommateurs. Cette mise en conformité représente un levier de croissance économique si elle est correctement opérée. Quelle est donc la « To Do » liste que les entreprises doivent valider ? Nous identifions 5 grandes cases à cocher.

« Accountability »

L’élément prioritaire à retenir est sans doute le principe de responsabilisation qui réclame que les entreprises non seulement mettent en place les mesures de protections exigées par la loi mais puissent le prouver notamment au moyen d’un registre interne qui recense tous les traitements de données réalisés, en donne les raisons et en définit les mécanismes de sécurité et de confidentialité.

Comme le règlement européen prévoit d’étendre ces obligations aux sous-traitants des entreprises, il importe de s’assurer que ces derniers, quelle que soit leur implantation géographique, puissent eux aussi prouver leur conformité par le biais du même type de registre.

« PIA » : Prévenir les risques qui peuvent compromettre la vie privée

Dès lors qu’un traitement de données implique des risques pour la vie privée des personnes concernées, l’entreprise sera obligée de mener une évaluation de son impact, soit un PIA : « Privacy Impact Assessment », puis de mettre en place un dispositif de sécurité maximale.

« Privacy by design » et «Privacy by default »

Ces deux principes témoignent de la nouvelle culture éthique autour des données que le RGPD cherche à faire adopter aux entreprises.

D’une part, elles doivent par défaut toujours limiter au strict minimum nécessaire la quantité et la durée d’archivage des données réclamées et recueillir un consentement « librement exprimé » par l’utilisateur – ce qui interdit tout système opt-out et opt-in passifs. Elles doivent aussi porter à l’attention de l’utilisateur, en lui permettant de s’y soustraire, la pratique éventuelle du profilage automatique, c’est-à-dire un traitement, via cookies par exemple, qui permet de suivre, analyser et prédire certaines caractéristiques de la personne à travers sa navigation sur internet.

D’autre part, dès la conception d’un nouveau service ou produit, elles doivent toujours garantir le plus haut niveau de sécurité autour des données échangées, notamment grâce à des solutions d’anonymisation, de pseudonymisation ou de cryptage des données.

Allier la DSI au juridique

La sécurisation de votre environnement IT est incontestablement le nerf de la guerre. Mais s’il faut bien sûr investir dans des solutions de cyber sécurité, il faut absolument que toutes les parties prenantes à tous les niveaux de l’entreprise soient formées aux outils à travers le prisme de ce nouveau cadre juridique afin d’être responsabilisées par rapport à leur utilisation. Car aucune technologie, aussi « foolproof » soit-elle, ne vous protégera complètement de l’erreur humaine.

Nommer un Délégué à la Protection des Données

Pour guider l’entreprise à travers l’ensemble de ces chantiers, sensibiliser et former toutes les équipes et remplaçant ainsi l’ancien Correspondant Informatique et Libertés de la CNIL, le Délégué à la Protection des Données deviendra le véritable champion de leur bonne gouvernance. Il devra par conséquent allier les compétences juridiques et techniques nécessaires afin de garantir la conformité légale et opérationnelle de l’entreprise avec le RGPD et jouera un rôle clé de liaison entre ces deux services. Cette fonction est obligatoire pour tous les organismes publics, les entreprises privées de plus de 250 salariés et pour celles qui manipulent des données sensibles et/ou en masse dès le 25 mai.

La collecte des données se fait tout au long des parcours clients. En prenant garde aux cinq points d’attention majeurs liés au RGPD, l’entreprise pourra délivrer la meilleure expérience client possible, en supprimant le superflu et en étant résolument ‘customer centric », explique Emmanuel Richard, Directeur Associé du cabinet de consulting Extens, filiale de Sitel Group.