ARTICLE D’EXPERT – Par Fabian Guion, Consultant RGPD, chez GAC Group
Après 2 années laissées pour sa mise en oeuvre, votre entreprise a l’obligation d’être maintenant en conformité avec le Règlement Européen Général de Protection des Données (RGPD).
Avant une nouvelle phase de sensibilisation qui va être organisée par les instances et avec l’apparition de nouvelles sanctions de la CNIL relatives à la protection des données personnelles, nous vous proposons de refaire un point sur les véritables risques encourus par votre entreprise en cas de non-conformité RGPD et de vous apporter un éclairage peut être différent du sujet.
1. Quels sont les véritables dangers et impact d’une non-conformité RGPD ?
Outre les risques des contrôles CNIL qui vont être renforcés dans les prochaines années –en particulier pour les entreprises manipulant des données personnelles dans leur cœur d’activité–, les principaux enjeux d’une mise en conformité sont de 3 ordres :
-
Impacts « Business » (pertes de marché)
De plus en plus d’appels d’offres contiennent désormais des exigences relatives à la protection des données personnelles. Une non-conformité fera donc courir le risque à votre entreprise de ne pas être en mesure d’y répondre efficacement et ainsi perdre les clients associés.
-
Impacts « Image et réputation » (dénonciations/plaintes auprès de la CNIL)
Le RGPD réaffirme les droits des personnes établis par la loi « Informatique et Libertés ». L’actualité et les scandales récents liés à l’utilisation des données personnelles (Cambridge Analytica, Google+, etc.) amorcent une prise de conscience de la population : de plus en plus de demandes d’exercice de ces droits sont à prévoir, que ce soit côté clients particuliers pour le BtoC ou côté salariés en interne pour l’ensemble des entreprises. Celles qui n’ont pas réalisé l’inventaire de leurs traitements de données personnelles et n’ont pas mis en place des procédures de réponses efficaces s’exposent à des dénonciations auprès de la CNIL, et à la dégradation d’image qui en découlerait.
-
Impacts « Sécurité » (pertes de données et usurpations d’identité)
La démarche de mise en conformité implique un premier audit des mesures de protection en place. Elle permet donc d’anticiper les risques de violation de données personnelles, de sensibiliser les acteurs, et ainsi limiter les risques d’usurpation d’identité, d’hameçonnage, ou toute autre forme d’ingénierie sociale.
2. En quoi consiste un contrôle CNIL ?
Le premier élément que l’autorité de contrôle va vérifier est le registre des traitements de votre entreprise.
Il s’agit de la brique principale de toute démarche de mise en conformité. Il permet de recenser l’ensemble des traitements de données personnelles réalisés par votre entreprise, et de documenter un certain nombre d’informations associées, telles que la finalité (l’objectif du traitement), le type de données traitées, leur durée de conservation, les sous-traitants éventuels, etc.
La CNIL va également passer en revue les moyens mis en place pour informer les personnes dont vous traitez les données, les procédures de réponse à l’exercice des droits des personnes et aux violations de données, les chartes internes et politiques de sécurité informatique le cas échéant.
Elle pourra enfin auditer votre site web et les logiciels utilisés pour traiter les données personnelles, en particulier la gestion des droits d’accès, la sécurisation des serveurs, la protection de votre réseau, la gestion des sauvegardes, etc.
Tous ces éléments doivent être pilotés en interne par un Délégué à la Protection des Données (DPO) ou a minima par un chef de projet de mise en conformité.
3. Comment pouvoir répondre à des appels d’offres qui exigent une mise en conformité RGPD ?
Il est nécessaire d’avoir entamé une démarche de mise en conformité afin de se poser les bonnes questions en amont.
Cela vous permettra de collecter, rédiger et centraliser toute la documentation nécessaire pour répondre rapidement aux exigences établies dans les appels d’offres.
Ceux-ci se présentent la plupart du temps sous forme d’un questionnaire reprenant les grands principes du RGPD, mais vous pouvez également rédiger de manière proactive un document synthétique récapitulant l’ensemble des mesures mises en œuvre par votre entreprise pour y répondre.
4. Que faire en cas d’une plainte CNIL de la part de vos clients, salariés ou candidats ?
Idéalement, une mise en conformité sérieuse vous permettra d’éviter de telles extrémités.
En effet, après avoir établi les procédures nécessaires, vous serez à même de répondre aux sollicitations dans les délais impartis (à savoir 1 mois), sans que cela n’aboutisse à une plainte.
Toutefois, dans le cas contraire, il vous faudra à tout prix être en mesure de prouver votre « bonne foi » vis-à-vis de la CNIL et entamer au plus vite les démarches adéquates.
5. Quels sont les abus et les arnaques concernant le RGPD ?
De plus en plus de sociétés de conseil s’engouffrent dans le business du RGPD sans disposer de l’expertise et des compétences nécessaires pour couvrir un sujet aussi complet et transverse.
Certaines se contentent de facturer la mise à disposition de ‘documentation type’ déjà librement accessible sur le site de la CNIL, sans aucun véritable accompagnement ni méthodologie.
Or, même si pour la plupart des entreprises la mise en conformité nécessite simplement une approche pragmatique, centrée autour de traitements de données classiques tels que le marketing, la gestion clients, et les traitements RH, cette approche se doit d’être structurée.
Elle nécessite un état des lieux précis de vos traitements, afin de déterminer les écarts de conformité et d’en déduire un plan d’actions.
6. Quel est l’intérêt d’être accompagné par un consultant RGPD dans sa mise en conformité ?
Le RGPD est un texte juridique qui de prime abord peut paraître complexe et lourd à appliquer. Cependant, vous l’aurez compris, en fonction de votre secteur d’activité, la démarche de mise en conformité peut en réalité être simple et pragmatique si elle est réalisée de façon structurée et avec les bons outils.
A ce titre, la CNIL fournit d’ailleurs d’excellents guides à destination des PME pour leur permettre de mener elles-mêmes leurs travaux.
L’intérêt d’un accompagnement externe, outre le gain de temps lié à l’expertise et à l’expérience accumulées, réside principalement dans la pluridisciplinarité des compétences apportées, du point de vue audit et organisationnel, mais également juridique et technique, facilitant ainsi l’analyse et la priorisation des actions.
Pour découvrir toutes nos vidéos liées au RGPD, cliquer ici.