RGPD. Quatre lettres, dures, qui hantent les esprits de bon nombre de responsables d’entreprises. Un sigle derrière lequel se cache un Règlement européen censé protéger les données personnelles des citoyens de l’Union et qui va entrer en application le 25 mai 2018. Il concerne toutes les entreprises et organisations qui utilisent et stockent des informations personnelles, directement ou via un sous-traitant, sur le Vieux continent.

Entretien avec Marie Soulez, Avocat, Lexing Alain Bensoussan

Concrètement, qu’est-ce que cela va changer pour les entreprises ?

Ce texte impose aux entreprises de se plier à de nouvelles obligations. Elles devront ainsi :

– réaliser des analyses d’impact avant la mise en œuvre d’un traitement de données pouvant présenter des risques pour les droits et libertés des personnes ;

– prendre en compte la protection de la sécurité des données dès la conception du traitement de données concerné ;

– être en mesure, à tout moment, de démontrer la conformité du traitement avec le RGPD.

Il s’agit d’un enjeu majeur. La Cnil, autorité de tutelle, pourrait être amenée à infliger des amendes pouvant atteindre 20 M€ ou jusqu’à 4% du chiffre d’affaires mondial annuel d’une entreprise.

Mais sa mise en application devrait aussi et surtout avoir un effet positif. Il renforce en effet les obligations de sécurité des entreprises. Le RGPD donne ainsi à leurs clients l’assurance d’un niveau de protection accru pour le traitement de leurs données personnelles.

Les entreprises françaises sont-elles prêtes ?

C’est loin d’être le cas : avant l’été, la moitié des entreprises déclarait ignorer les problématiques induites par la mise en conformité. Selon certaines études, les deux tiers n’avaient pas nommé de Data Protection Officer (DPO) et près de la moitié ne savaient pas du tout si elles seraient conformes à temps. Depuis l’automne, on sent une réelle prise de conscience, qui s’est encore accrue depuis le 1er janvier. Mais une chose est sûre : il est plus que jamais urgent pour les entreprises d’anticiper ce texte qui va modifier en profondeur les règles applicables à l’environnement numérique des entreprises !

Quels sont les grands travaux encore à mener pour se mettre en conformité ?

Afin d’être prêtes pour le 25 mai 2018, les entreprises seraient inspirées de respecter cinq priorités :

1/ Adopter une « posture » Informatique et libertés volontaire, visible et insistante, afin de se conformer aux obligations. Cela passe par une décision hiérarchique forte de mise en conformité, avant de devenir une nouvelle culture d’entreprise.

2/ Mettre en place une organisation pour assurer la compliance RGPD au sein de l’entreprise. Il faut pour cela un « chef d’orchestre » (DPO par exemple), nouveau « pilote » de la conformité et personnage clé de l’environnement digital des entreprises.

3/ Une fois l’organisation définie, il convient de réaliser un « diagnostic », véritable état des lieux destiné à établir une analyse des éventuels d’écarts de conformité, et donc identifier les zones de risques.

4/ Se doter d’outils permettant de « documenter » la politique Informatique et libertés. L’entreprise devra, en cas de contrôle, être à même de démontrer qu’elle a mis en œuvre les mesures organisationnelles pour respecter le RGPD.

5/ Enfin, le RGPD consacre la nécessité d’adopter une démarche dite de privacy by design et de security by default, qui modifient le pilotage des projets au sein des organismes en plaçant ces principes en amont de ceux-ci.

Qu’est-ce que le RGPD va changer pour les équipes de Relations Investisseurs ?

S’agissant d’un texte juridique, les directions juridiques sont les premières impactées, notamment dans leur rôle de sensibilisation de leur direction générale. Idem pour les équipes en charge des relations et de la communication financière : celles-ci doivent s’assurer que leur pratique est conforme au RGPD, tout comme celle des sous-traitants auxquels elles font appel.

Beñat Caujolle