RGPD : c’est aujourd’hui !

Le manque de prise de conscience des directions

« Les entreprises sont moyennement prêtes, il semble que celles qui sont les plus matures sont celles qui sont les plus complexes. Les chantiers sont en cours dans les  secteurs bancaire et assurance. Mais on remarque que 10 à 20 % des entreprises se lancent seulement dans la démarche RGPD, cela peut paraître surprenant, mais c’est la réalité «  explique Gilles Garnier.

Le domaine de l’assurance est un domaine plutôt avancé et très sensibilisé à la problématique protection des données, étant donné le traitement de celles-ci, toutefois, le retard de certaines organisations, voire de grands acteurs, est plutôt inquiétant. Les freins sont divers, budgets à obtenir, difficultés à sensibiliser les directions, « d’ailleurs, sans sensibilisation et adhésion forte de la direction sur le RGPD, le projet sera très complexe à mener ».

Autre point alarmant, le manque de connaissance et de maîtrise du sujet par les Directions juridiques « il est très étonnant de voir le faible niveau de connaissances de ces directions qui portent cependant le sujet ».

« La vraie question est la suivante : comment je transforme ce sujet réglementaire avec des sanctions financières en facteur de différenciation concurrentielle »

Quelles sanctions après le 25 mai 2018 ?

Personne ne se fait d’illusion sur la date. Néanmoins,  selon les textes, après le 25 mai 2018, la CNIL a prévu de renforcer ses contrôles auprès des entreprises pour vérifier leur bonne mise en conformité. En plus de l’amende pouvant aller jusqu’à 4% du chiffre d’affaires de l’entreprise en cas de non-conformité, la CNIL annoncera de façon publique les sanctions données aux différentes structures.

Gilles Garnier  précise « il serait singulier de voir des sanctions la semaine suivante. Toutefois, si d’ici la fin 2018, il n’y a pas les gestes forts européens, c’est toute la crédibilité du sujet qui serait remise en question ». Les sanctions seront significatives.

Cette mise en conformité doit devenir, par ailleurs, un vrai facteur différenciateur. L’idée est bien de prioriser, « les entreprises ont considéré ce qui était vital de traiter avant la date butoir du 25 mai 2018 et ce qui peut attendre. L’approche se planifie et il faut traiter par les risques, évaluer les données les plus critiques et les traitements les plus exposés, et sécuriser ». Les entreprises se mettent en marche avec « vrai un plan de bataille », « en effet, nous construisons des projets qui vont jusqu’à début 2019 voire plus loin » commente Gilles Garnier.

Et de poursuivre, « le plus important est d’être capable de prouver à une autorité de contrôle que le processus est en marche, que ce qui a été traité est le plus critique, que les procédures de gouvernance sont en place, que l’entreprise met tout en œuvre pour parvenir à la conformité requise ».

N’hésitons pas à le dire, l’entreprise devra pouvoir certifier que le principe d’autorégulation a été suivi, que tout est mis en œuvre pour respecter les dispositions du RGPD, comme la formation des salariés qui gèrent les données personnelles.

Priorité N° 1 : la localisation des données

La prise de conscience est là mais le plus difficile pour les entreprises est de localiser les données, confidentielles, internes, publiques, et notamment les plus critiques. « Il faut donc analyser les données structurées (bases de données) et celles non-structurées (baies, Word, Excel, PowerPoint …) souvent mal gérées avec des niveaux de confidentialité mal maîtrisés.

Aujourd’hui, le défi est de savoir où se trouvent ces données, nous accompagnons les entreprises en ce sens et nous insistons sur la cartographie, c’est un des premiers gros chantiers ».

Quasiment toutes les entreprises vont devoir nommer un DPO (Data Protection Manager ou Délégué à la Protection des Données).  « Mais si elles ne le souhaitent pas ou ne peuvent pas, elles pourront faire appel à un DPO externe, nous pouvons prendre en charge de manière permanente la responsabilité du DPO, mais nous entrons aussi dans une optique de passage de témoin, montée en compétences, formation, en un temps limité pour leur donner une autonomie complète » conclut Gilles Garnier.