Protection des données

Les clés pour être en conformité avec le règlement européen

Un peu plus d’une année nous sépare encore de la mise en application du règlement européen sur la protection des données personnelles (appelé GDPR, pour General data protection régulation). Un délai qui semble bien court aux entreprises, sur lesquelles pèse la menace de lourdes sanctions en cas de non-conformité. Comment être prêt pour le 25 mai 2018 ? L’Université AFCDP des Correspondants informatique et libertés (CIL) a délivré quelques pistes concrètes.

Les entreprises de tous les pays membres de l’Union européenne devront être en mesure d’assurer la protection des données de leurs clients. Un défi de taille, notamment face à la volumétrie de ces données et à leur dispersion. Le règlement européen aura des incidences à de nombreux échelons de l’entreprise, de la gestion des données aux relations avec les sous-traitants, en passant par l’élaboration de nouvelles mentions légales. Face à l’étendue des chantiers, nombre de sociétés craignent de ne pas avoir effectué les changements imposés par le règlement européen d’ici à son entrée en vigueur. Pas question pour autant de tout mener de front. Lors d’une table ronde animée par Albine Vincent, chef du service des correspondants informatique et libertés à la CNIL, Michel Rime, CIL du Groupe Argosyn, Virginie Langlet, CIL du département des Alpes-Maritimes et Michel Bazet, CIL d’AG2R La Mondiale, ont délivré leurs bonnes pratiques, afin que chaque société puisse initier sa mise en conformité.

Sensibiliser et prioriser

Avant toute chose, la maîtrise du sujet est indispensable. Au-delà du texte de loi, il s’agit de comprendre ses implications. Pour cela, il faut collecter des informations auprès de sources diverses : CNIL, G29, cabinets d’avocats, organismes publics ou professionnels, réseaux sociaux et autorités de contrôle étrangères, afin de s’inspirer de leurs bonnes pratiques.

Une fois les enjeux cernés, il est essentiel de remporter l’adhésion des dirigeants, en trouvant par exemple des relais au sein du comité de direction et du comité exécutif. « Nous avons également beaucoup collaboré avec la direction juridique, dont le soutien a été central pour déterminer les procédures à mettre en place », explique Michel Rime, d’Argosyn (groupe de vente par correspondance et d’e-commerce).

En fonction de la taille de la structure et de son secteur d’activité, il est nécessaire de prioriser les actions à mettre en place, s’accordent à dire les intervenants. « Nous avons identifié 12 chantiers et déterminons leur priorité selon une approche de gestion du risque », détaille ainsi Michel Bazet. « Nous avons souhaité encourager la motivation des équipes opérationnelles, annonce à son tour Virginie Langlet. En parallèle des projets de long terme, nous avons donc identifié des actions rapides à mettre en place et aux résultats visibles, comme des procédures sur la gestion des droits d’accès, la mise en conformité des modèles de courrier ou des mentions légales ».

Motiver et impliquer les équipes est en effet un facteur clé du succès. Pour cela, tous ont expliqué avoir dû mener des actions ciblées : courriers et notes internes, réunions de sensibilisation, formations… En l’absence de CIL en interne, il est également possible de s’appuyer sur un cabinet extérieur.

Des relais d’aide

Apporter un maximum de sécurité juridique aux entreprises. Voici comment Édouard Geffray, secrétaire général de la CNIL, définit la mission de cette dernière jusqu’au au 25 mai 2018. Pour cela, l’autorité française de contrôle de la protection des données personnelles propose des clés et des outils pour les entreprises.

Michel Bazet, d’AG2R La Mondiale, rappelle ainsi l’utilité du label gouvernance informatique & libertés de la CNIL. « Chercher à l’obtenir offre un cadre de référence et un mode d’emploi des pratiques de conformité. Cela permet également de légitimer des transformations pratiques au sein de l’entreprise. »

La CNIL a aussi mis en ligne le résultat de son travail d’interprétation du règlement européen. Elle en a dégagé, avec le G29, les lignes directrices, notamment concernant le statut et le rôle du DPO (Data Protection Officer). « Nous n’avons pas encore épuisé toutes les subtilités du texte, mais nous avons vocation à publier régulièrement des explications complémentaires », précise Édouard Geffray. Il appelle les sociétés à participer aux ateliers organisés par la CNIL, insistant sur le rôle d’accompagnant que peut tenir la Commission, bien plus que sur ses aspects répressifs.

Sources : Editions Législatives