COMPTE RENDU : CONFÉRENCE RGPD BY EBG 3/3
Mardi 16 janvier à l’EGB s’est tenue la table ronde « RGPD : mesures phares, impact et organisation », animée par Dounia Zouine (Senior Manager chez Converteo). Retour sur cette matinée à travers une trilogie d’articles reprenant les 3 temps de cette table ronde :
1. Les mesures phares : rappel des principaux concepts du RGPD
Présentation des points clés de cette règlementation par maître Régis Carral, avocat associé du cabinet Hoche Société d’Avocat.
2. Impacts : un même règlement mais des implications différentes
Les entreprises détiennent différents types de données et ne les exploitent pas de la même manière. Quels sont les impacts de cette règlementation commune sur des entreprises aux structures et aux enjeux très différents ?
3. Organisation : comment mener des projets de mise en conformité ?
Immersion dans l’intimité des projets RGPD de différentes entreprises en s’intéressant à ce qu’elles ont choisi de prioriser et aux principaux changements auxquels elles font face.
Organisation : comment mener des projets de mise en conformité ?
Une démarche anglosaxonne des autorités de contrôle
Avec le RGPD, la CNIL s’inscrit dans une démarche anglosaxonne qui vise à responsabiliser les entreprises. Elle se positionne en tant qu’allié en produisant divers supports pour les accompagner dans la transition (outil d’analyse d’impact, par exemple).
Au vu des efforts de la CNIL pour faciliter la mise en conformité des entreprises, Maître Carral (avocat associé du cabinet Hoche Société d’Avocat) pense qu’en contrepartie, elle se montrera plus sévère en cas de non-respect de la règlementation. Il est donc possible que les sanctions maximales soient appliquées, contrairement à ce qui est traditionnellement observé.
La nécessité d’avoir une démarche transversale
Dans le chantier de mise en conformité, le DPO (Data Protection Officer) doit être au cœur de la gouvernance de la donnée. Son principal défi est de convaincre la direction générale de s’investir pleinement dans ce projet car la conduite du changement ne peut réussir que si chaque service se l’approprie réellement.
Au-delà de l’aspect financier, lié au montant des sanctions, les risques liés aux contentieux et à la dégradation de l’image de l’entreprise en cas de non-respect de la règlementation sont des arguments de poids pour convaincre la direction générale.
Pour Renault (représenté par Virginie De Rigal, responsable de la protection des données personnelles) dont l’organisation est encore silotée, la mise en conformité est menée de manière transversale grâce à un travail de formation et de sensibilisation au sein des différents services.
De même, pour sensibiliser l’ensemble de ses équipes à l’importance de la protection des données, la Sacem (représentée par Florence Graveline, DPO et responsable du service juridique) organise des conférences en interne et encourage ses collaborateurs à « traiter leurs données métiers comme ils aimeraient que l’on traite leurs données personnelles ».
La conformité comme argument marketing
Les utilisateurs sont de plus en plus éduqués et sensibles à la protection de leurs données personnelles, ce qui en fait un critère essentiel de la satisfaction client. La mise en conformité dans le cadre de la RGPD est donc un bon moyen de regagner leur confiance.
Pour Les Furets.com (représentés par Johanna Thivolle Senior Manager Legal, Compliance and Risk) la protection des données personnelles est devenue un argument marketing différenciant dont la valeur a pu être démontrée par A/B test. Dans cette expérience, la version testée qui indiquait clairement que les Furets.com ne vendaient pas les données personnelles des utilisateurs était plus performante.
La gestion des demandes de suppression des données personnelles
Dans le cadre du RGPD, l’utilisateur dispose d’un droit d’accès, de modification et suppression de ses données personnelles. Il peut adresser ses demandes au responsable de traitement et faire appel à la CNIL, voire déclencher une saisie juridictionnelle en parallèle.
L’entreprise doit veiller à ce que l’intégralité des données soient supprimées, sous tous les formats de fichier, y compris les dossiers papier. Il faut ensuite être en mesure de prouver à l’utilisateur que les données ont bien été supprimées. Le délai de prescription est de cinq ans. La CNIL recommande de conserver les preuves de destruction pendant au moins un an.
Dans le cas où la donnée ne pourrait pas être supprimée, l’entreprise doit être en mesure de le justifier à la personne concernée. Par exemple, si un employé demande la suppression de ses bulletins de salaire, l’entreprise pourra refuser car elle est légalement tenue de les conserver.
Pour conclure, le RGPD s’inscrit dans une dynamique plus globale de prise de conscience que la donnée est le « pétrole de demain » et qu’il faut fixer un cadre pour l’exploiter. Une mise en conformité menée efficacement est la preuve d’une volonté de prendre soin de ses utilisateurs, ce qui sera bénéfique pour les entreprises sur le long terme. Toutefois, comme le souligne Johanna Thivolle, le prochain défi sera de veiller à ce que ces problématiques de protection des données restent parmi les priorités des entreprises et ne soient pas relayées au second plan après le 25 mai 2018, date d’entrée en vigueur de la règlementation.
Pour aller plus loin, Converteo vous propose d’assister à la formation RGPD & protection des données personnelles. Il s’agit d’une journée pour comprendre la nouvelle réglementation RGPD, les impacts concrets de celle-ci sur votre activité et votre organisation ainsi que les grandes étapes d’un projet de mise en conformité afin de construire votre feuille de route.
Auteur : Myriam Klikel, Consultante