Diplôme d'Université DPO Délégué Protection des Données

6 idées reçues sur le RGPDLe Règlement Européen sur la Protection des Données Personnelles alimente fantasmes et craintes

L'échéance de la mise en application du RGPD se rapproche et toutes les entreprises sont loin d'avoir lancé leur processus de mise en conformité, ni d'avoir mesuré l'impact que pourrait avoir le règlement européen sur leur activité. Outre les risques d'amendes, l'ouverture de nouveaux droits pour les clients et la nécessaire mise en visibilité des traitements de données auront aussi des impacts sur les processus de vente et la relation client. Par exemple, si la LCEN (La loi pour la confiance dans l'économie numérique) de 2004 considérait que les emails professionnels ne faisaient pas partie du spectre des données personnelles et ne nécessitaient pas de consentement (opt-in) pour être ré-utilisés, le RGPD considère cela valable seulement si l'adresse courriel ne dispose pas d'éléments permettant de déterminer l'identité de son possesseur : il devient donc compliqué de faire du push-mail sur prenom.nom@ (prenom.nom @ laboite.fr)client.fr sans son accord explicite.

Comme tout texte juridique, il est complexe d'en analyser les tenants et aboutissants d'autant qu'il se focalise aussi bien sur des aspects stratégiques, techniques et juridiques. 

De fait, un certain nombre d'idées reçues, aux réponses rassurantes par rapport à l'ampleur supposée du chantier, ont pu naître à mesure que l'échéance se rapproche.

"J'ai le temps ! le RGPD, c'est en mai 2018"

Que nenni, le 25 mai 2018 est la date de mise en application du Règlement à la Protection des Données Personnelles. C'est-à-dire qu'à cette date, toutes les entreprises (organisations publiques ou privées) devront être en conformité. En fait, les chantiers de mise en conformité devraient avoir débutés depuis mai 2016. Si vous n'êtes pas prêt en 2018, vous risquez à tout moment des sanctions lors d'un contrôle de la CNIL.

 

"J'ai de la marge, la CNIL n'a pas les moyens de contrôler tout le monde dès mai 2018 !"

Certes la CNIL a annoncé que ses premières préoccupations n'étaient pas de lancer une campagne de contrôle agressive sur les entreprises et elle n'en a surement pas les moyens humains. Cependant elle est tenue de traiter les demandes qu'elle peut recevoir de particuliers ; elle peut donc venir effectuer un contrôle parce que vous avez été dénoncé. Et il est beaucoup plus simple de traiter ce flux là quand les ressources sont limitées.

 

"Il me suffit d'acheter ou de faire évoluer mes applications vers des versions 100% compatible avec le RGPD"

Malheureusement, le RGPD n'est pas soluble dans la technologie, c'est avant tout une question de pratiques métiers et organisationnelles. Etes-vous sûr que toutes les données concernées par le texte transitent par votre ERP ou votre CRM ? Etes-vous certains de qui les détient ou les utilisent (même en interne) ? 

 

"J'ai déjà un CIL ; il a déjà cartographié nos données depuis longtemps"

Le RGPD n'invalide certes pas le travail de votre CIL et l'inventaire des données qu'il a pu tenir à jour depuis 2005. Et ce sera aussi le travail de votre futur DPO (qui sera peut-être la même personne). Mais la nouvelle réglementation vise à sécuriser la finalité des traitements et non la valeur des données traitées. Et ce sont ces processus que votre DPO devra cartographier. Par ailleurs, l'aspect "Droit opposable des usagers" qui imprègne l'ensemble du texte demande peut-être de mettre en place de nouveaux processus de guichet pour traiter les demandes des personnes qui souhaiteraient accéder à leur données, de modifier votre site web ou vos documents commerciaux.

 

"Comment je vais faire pour mes campagnes de marketing direct si je dois demander leur consentement à tous mes prospects ? "

Les textes précédents considéraient déjà nécessaire l'opt-in volontaire des personnes pour l'utilisation de leur mail personnel.
Même si le consentement est le premier point de justification de la légitimité d'un traitement, l'article 6 introduit d'autres notions qui dépassent la simple façon dont l'adresse a été obtenue. Le législateur peut considérer le traitement comme licite même sans opt-in si la finalité du traitement est justifiée par l’intérêt légitime de l'entreprise (avec un warning très clair concernant le spam et la répétitivité des relances).
Il conviendra aussi d'être très vigilant sur les possibilités pour les prospects de faire valoir leur droit d'opposition à l'utilisation de leur données ainsi qu'à la transparence sur les données conservées ; l'aspect "droit opposable de l'usager" étant l'un des éléments primordiaux du texte.
L'occasion de se livrer à un marketing direct qualitatif plutôt que quantitatif ?..

 

"Je suis tranquille ; j'héberge moi-même mes données / je n'utilise pas de cloud"

Si cela réduit drastiquement les risques que les données soient exploitées par des entreprises tierces ou extra-européennes, cela n'empêche pas leur mauvaise utilisation par des personnes de l'entreprise ou leur exfiltration. Par ailleurs, le RGPD ne s'intéresse pas uniquement à la sécurité des données des tiers que vous possédez. Il porte aussi sur les pratiques et les finalités de vos traitements.

 

Il n'est peut être pas trop tard pour débuter votre chantier de mise en conformité. L'Université de technologie de Troyes peut vous accompagner dans cette démarche en formant dans le cadre de son diplôme d'Université votre Délégué(e) à la Protection des Données (DPO)

article inspiré des travaux de l'AFCDP