Le règlement général sur la protection des données (RGPD) impose aux entreprises
françaises et européennes de revoir leurs pratiques de traitement des données clients, internes et externes. A l'heure du big data, les entreprises sont amenées à gérer des flux de données de plus en plus importants ; la mise en place d'une réglementation se révèle une mesure nécessaire pour la préservation des données sensibles. Le RGPD se substitue à la directive sur la protection des données et prévoit de nouvelles conditions concernant la collecte, l'exploitation et le transfert des données, dont le non-respect entraînera de lourdes amendes. Toutefois, dans certains domaines, ses exigences restent vagues et il peut être complexe à mettre en œuvre. Pour y pallier, plusieurs entreprises ont nommé un délégué à la protection des données personnelles (DPO, Data Personal Officer), afin d'assurer son application. Le big data implique pour les entreprises la mise en oeuvre de moyens parfois difficiles à appliquer en interne : le délégué à la protection des données est un intermédiaire clé pour maîtriser les risques.
Le RGPD va modifier en profondeur le fonctionnement de tous les départements de l'entreprise (marketing, services RH, services juridiques, etc.). Il concerne les avis de confidentialité, les notifications de consentement ou encore les notifications de faille de sécurité. Dans les RH, l'indication « données personnelles » désignera désormais toute information permettant d'identifier une personne de façon directe ou indirecte (date de naissance, adresse IP ou nom). Les entreprises devront rendre ces données accessibles aux personnes concernées, permettre leur suppression – sous conditions –, et les informer sur leur durée de conservation et leurs mouvements. Les dirigeants cherchent à réajuster en conséquence leurs règles internes.
Règles internes : quels changements à amener ?
Il est impératif pour les entreprises d'évaluer les risques potentiels liés à leurs pratiques courantes et de modifier les règles actuelles.
- Vérifier les processus de données en contrôlant les pratiques de conservation (type de données stockées, durée), de traitement et de transfert (en France, en UE ou à l'international).
- Communiquer de façon compréhensible sur l'utilisation des données personnelles.
- Tenir compte du droit des individus à l'information en élaborant un processus standard, pour les demandes d'accès aux données et de suppression, par les particuliers concernés.
- Réviser les avis de confidentialité sans tarder, pour qu'ils soient conformes aux nouveaux paramètres de confidentialité (privacy notices) en vue de les préparer à l'application de la RGPD prévue l'année prochaine :
a. de façon concise, transparente, intelligible et facilement accessible ;
b. en langage simple et clair, en particulier s'il s'adresse à un enfant ;
c. et sans frais. - Anticiper les risques et les failles de sécurité de façon immédiate afin de protéger les données individuelles.
Comment se définit le rôle de délégué à la protection des données ?
L'article 37 (1) du RGPD exige la nomination d'un délégué à la protection des données (DPO) dans l'un de ces trois cas :
- le traitement est effectué par une autorité publique ou un organisme public ;
- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.
- après examen des lignes directrices du RGPD, les entreprises pourront nommer un délégué à la protection des données : une mesure encouragée par le RGPD.
Quel est son champ d'action ?
Garant de l'application du RGPD, dont le non-respect peut coûter jusqu'à 4% du chiffre d'affaires et entraîner l'interdiction de traiter les données personnelles, le délégué à la protection des données intervient en dehors du management. Il exerce une activité à plein temps qui requiert une parfaite connaissance des données de l'entreprise et de leur politique de traitement. Son rôle évoluera en fonction de l'émergence de nouvelles réglementations. Sans cet intermédiaire, nécessaire à la compréhension des directives de la RGPD, la gestion du traitement des données s'ajoutera aux attributions déjà nombreuses du Chief Digital Officer (CDO) ou du DSI, ce qui sera impossible à gérer.
Les entreprises doivent donc impérativement envisager d'intégrer cette compétence à leur personnel.