RGPD : où en êtes-vous 1 an après ?
Le | Contenu sponsorisé - Site emploi généraliste
Exécutoire depuis un an, le RGPD oblige les entreprises à revoir leurs méthodes de traitements des données personnelles et à renforcer leur sécurité informatique. Tous les métiers sont concernés, et en particulier le DRH. Mais les organisations sont encore très loin d’être en conformité
Ce texte de 99 articles a été rédigé afin de limiter les informations personnelles recueillies à l’insu des individus ou sans réelle justification par toutes les entreprises. Complexe à comprendre et nécessitant des adaptations particulières, ce règlement exige une profonde évolution des mentalités de tous les services d’une entreprise.
Mais un an après, « nous restons en France dans une logique de «pas vu, pas pris » et on attend de voir comment la CNIL va réagir», déclare Maitre Anne-Sophie POGGI, Avocate à la Cour spécialisée en droit de la donnée.
Or, cette politique de l’autruche n’est certainement pas la bonne. Pour deux raisons principales. Premièrement, les plaintes déposées auprès de la CNIL ont fortement augmenté (plus de 11 000 l’année dernière). Deuxièmement, la CNIL va se montrer plus sévère. Dans un entretien accordé à La Tribune, la nouvelle présidente de la Commission nationale de l’informatique et des libertés (CNIL), Marie-Laure Denis a déclaré qu’il faut « désormais, faire preuve de davantage de fermeté. Notre action de régulation ne sera efficace que si nous actionnons à parts égales les deux leviers à notre disposition, c’est-à-dire la pédagogie d’un côté, et le contrôle avec éventuellement des sanctions de l’autre ».
La conformité des sous-traitants : le casse-tête
La mise en conformité doit être globale. Elle concerne tous les métiers de l’entreprise (du marketing ou RH en passant par le commercial). Mais ce n’est pas qu’une problématique juridique. Les entreprises doivent prendre des « mesures techniques et organisationnelles appropriées ». Cela implique de renforcer sa sécurité informatique afin d’assurer la confidentialité des données personnelles.
Par ailleurs, le RGPD consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles. Cela concerne donc les prestataires. Les entreprises ne doivent pas négliger ce point. L’Article 28-1 du RGPD précise que lorsqu’un « traitement doit être effectué pour le compte d’un responsable du traitement (en l’occurrence l’entreprise, NDLR), celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Les entreprises doivent absolument revoir les contrats de leurs sous-traitants afin d’ajouter des clauses spécifiques aux RGPD. Or, les prestataires traitant de données à caractère personnel sont nombreux : logiciels RH et CRM, hébergeurs de données, emailing, cloud…
Cette énumération, non exhaustive, montre à quel point le RGPD est un vaste chantier. Ne rien faire sera tôt ou tard sanctionné par la CNIL ou par une baisse de confiance des clients et des salariés. « Rome ne s’est pas faite en un jour ». La conformité avec le RGPD non plus !
Pour aller plus loin : télécharger l’eBook gratuit RGPG, un an déjà ! Les bonnes pratiques pour réussir sa mise en conformité