RGPD : arrêtez de faire peur

La date du 25 mai est agitée par beaucoup comme un épouvantail….ou un argumentaire de démarches commerciales.

Oui, le RGPD va profondément modifier le rapport des entreprises, et des administrations, aux données personnelles des citoyens européens, non le 25 mai ne sera pas un grand soir qui plongera les entreprises dans le chaos.

Le 10 avril 2018, à l’occasion d’une conférence de presse, la présidente de la CNIL (la Commission Nationale de l’Informatique et des Libertés), Isabelle Falque-Pierrotin, à fait un point sur le RGPD et ses enjeux. Elle s’est montrée rassurante quant à la mise en oeuvre des mesures de contrôle qui accompagneront l’application du règlement européen.

S’il n’y aura pas de « période de grâce », il n’y aura pas, non plus, de « chasse aux sorcières », dit-elle. D’ailleurs, on peut se demander comment la CNIL pourrait, des le 26 mai, lancer une vaste opération de contrôle sur l’ensemble des administrations et des entreprises françaises (plus de 3,5 millions!) et étrangères détenant des données personnelles de français.

De façon beaucoup plus réaliste, La Commission Nationale de l’Informatique et des Libertés souhaite s’engager dans un processus de pédagogie et d’accompagnement. Ce qui est recherché, c’est que les entreprises et les administrations publiques prennent conscience des données à caractères personnels et sensibles qu’elles demandent à leurs clients ou usagers mais également à leurs collaborateurs, qu’elles soient conscientes de leurs responsabilités quant à la conservation et la sécurité de ces données (les exemples de fuites ou de pillages massives de données sont multiples) et qu’elles assument ces responsabilités en cas de perte de données.

Bien entendu, les organisations qui, par leur nature ou par leur taille, collectent déjà beaucoup de données à caractères personnels et sensibles (grandes entreprises, marketing, surveillance, hôpitaux….) feront plus rapidement et plus régulièrement l’objet de contrôles, et les citoyens ne peuvent que s’en réjouirent. L’immense majorité des PME, voire des ETI, ne sera, dans un premier temps, concerné que de loin….tant que ces entreprises ne seront pas touchées par une fuite ou une attaque visant à mettre leurs données sur la place publique….et qu’une plainte ne sera pas déposée par une victime.

C’est pourquoi, il est important pour tout organisme, public ou privé, de pouvoir démontrer qu’il a initié sincèrement une démarche RGPD, que son mode de traitement des données est dans l’esprit du RGPD, c’est à dire, que des données à caractères sensibles ne sont pas demandées sans raisons, qu’elles font l’objet d’une identification et d’un traitement spécifiques mais également d’une attention particulière. Plus qu’un travail de juriste ou d’informaticien, c’est d’abord une œuvre de bon sens et d’inventaire.

D’ailleurs, les entreprises auraient tout intérêt de profiter de ce travail d’inventaire pour le compléter par un examen de l’ensemble des données dont elles disposent et qui, sans présenter de caractères personnels et sensibles, sont, pour autant, vitales pour son développement. Il s’agit en particulier, des données dont le vol ou la dégradation pourraient faire perdre un avantage concurrentiel et avoir des conséquences sur le chiffre d’affaire et l’emploi (secrets de fabrique, plan marketing, données commerciales ou financières….).

Avoir l’esprit RGPD c’est donc :

  • penser RGPD au moment d’initier une nouvelle démarche de collecte d’informations personnelles et de se doter de nouveaux outils numériques pour cela (privacy by design) ;

  • cartographier et caractériser les données à caractères personnels dont on dispose déjà (dans une PME il y a en, en général, finalement assez peu)  ;

  • réagir avec le soucis des individus en cas de pertes de leurs données personnelles (c’est le bon sens)