Pour gérer vos consentements :
Categories: Sécurité

RGPD : après le 25 mai, quelles actions moyen et long terme ?

Le 25 mai 2018, une fois les principales dispositions mises en œuvre pour être en conformité  avec le nouveau règlement RGDP , tout nouveau traitement devra être conforme dès la conception, et correctement protégé.

Mais il restera encore beaucoup faire. « Lorsque les principaux points ont été traités en priorité, pour ne pas risquer d’être exposé aux sanctions et amendes, il faut continuer d’avancer sur les chantiers présentés dans la ’road map’ à moyen et long terme », répond Arnaud de Chambourcy, « Practise Manager » de la SSII Umanis.

La règlementation considère effectivement que la mission du DPO (délégué à la protection des données) est permanente. Elle s’inscrit dans une démarche d’amélioration continue.

« Il s’agit, dès lors, de continuer la mise en place des meilleures procédures. Il peut s’agir de vrais projets informatiques ou de «programmes» à engager sur des délais classiques de 6 à 18 mois, observe l’expert d’Umanis.

Face aux risques des actions collectives

Personne ne sait avec précision quelles actions et quels contrôles va exercer la CNIL. Elle le fera progressivement, dit-on. En revanche, il faut intégrer que entreprises et organisations s’exposent à des actions collectives (« class action », en anglais) par les usagers, clients ou consommateurs. « Le risque d’être contrevenant est toujours réel », souligne A. de Chambourcy.

Parmi les chantiers à moyen et long terme, on peut mentionner le droit d’accès (avec rectification, opposition et effacement); de même que le droit à la portabilité qui doit permettre aux intéressés de récupérer un fichier transmissible par voie électronique à une tierce-partie, typiquement en cas de changement de prestataire.`

Le volet  » information / communication » peut également constituer un programme important.  Il convient notamment d’être transparent sur la finalité des traitements : si je donne mes coordonnées personnelles pour un service bien spécifique ; il n’est pas question de les utiliser pour un autre objectif.

« Les modalités de collecte des données doivent être loyales, licites et transparentes », souligne A. de Chambourcy. Le cas échéant, pour des traitements de back-office en « near-shore » ou « off-shore » (centre de conseil ou dépannage au Maghreb ou en Inde, par exemple), il faut informer que les données sont susceptibles d’être exposées hors de l’U.E.

Opportunités commerciales et révision de sa stratégie digitale

Le respect de la nouvelle règlementation peut ouvrir de réelles opportunités commerciales : « Si l’on positive, cette surcouche de contraintes règlementaire peut se retourner en une mine d’or », considère Arnaud de Chambourcy,

« En se mettant en ordre de marche, les entreprises vont pouvoir communiquer des atouts concurrentiels auprès de leurs clients. Elles peuvent, par exemple, déclarer ne pas monétiser l’utilisation des données à caractère personnel ou le faire dans leur intérêt en obtenant leur adhésion, par exemple sur le choix du ou des points de vente ou points de contact qui ont choisis ».

Une telle démarche incite à créer sinon revisiter sa stratégie digitale. Elle conduit à restructurer le traitement des bases de données, comportant des données privées. Non seulement, je respecte la règlementation aux yeux de mes usagers ou clients, mais je leur propose, en étant transparent, d’en tirer parti pour améliorer le service ».

Principe de responsabilité

Cette approche transparente s’avère d’autant plus opportune que des grands groupes, comme Direct Energie, se sont exposés à une mise en demeure de la CNIL. L’organisme dénonce la duplicité de la demande de consentement auprès de ses abonnés pour obtenir un accord  d’exploitation  des données très fines sur la consommation d’énergie collectées via le compteur Linky.

Ce cas d’espèce pose le principe de responsabilité entre sous-traitants et fournisseur collecteur et détenteur des données (et jamais « propriétaire », car la donnée reste la propriété des personnes). Le détenteur collecteur des données devient responsable de la bonne application des règles par ses sous-traitants.

Avancer sur le juridique et l’informatique

« Il faut être pragmatique, et intervenir à la fois sur le juridique, le technique et l’informatique » souligne Anthony Coquer, directeur de département au sein du cabinet Alain Bensoussan Lexing.

Il existe des outils, comme le DPIA (Data Protection Impact Assessment) pour faciliter les diverses tâches mais également des codes de conduite ou des guides de bonnes pratiques comme celui de l’ICO (R.U.).

La cartographie des données personnelles, dans les fichiers ou applications, peut impliquer une centaine de traitements. « Il est donc recommandé de prévoir un plan de priorisation en fonction de la nature et du caractère sensible des données » insiste Anthony Coquer.

La mise en place des procédures de sécurité, de traçabilité constitue également, en soi, un processus d’amélioration en continu.

Il est ainsi bienvenu de procéder à des diagnostics ou audits de conformité de l’entreprise :  » On peut agir de façon ponctuelle en fonction de l’analyse d’impact. Sur certains aspects, il peut être opportun de recourir à un support » pointe-t-il.

Page: 1 2

Recent Posts

Vanessa Cugniere, nouvelle Country Manager de OneTrust en France

OneTrust nomme Vanessa Cugniere au poste de Country Manager pour la France.

11 heures ago

Les recettes d’Apple pour entraîner des LLM multimodaux

Apple donne un aperçu supplémentaire de ses travaux LLM multimodaux avec un article consacré à…

11 heures ago

Luc Julia : « L’IA générative n’est pas une révolution des IA, mais une révolution des usages »

Pour Luc Julia, inventeur de Siri, l’essor des IA génératives n’est pas une révolution qui…

15 heures ago

Grok est-il vraiment un LLM « ouvert » ?

Un LLM dont on publie poids et code d'inférence est-il « open source » ?…

16 heures ago

Les 5 start-up retenues pour le programme PROQCIMA

Avec PROQCIMA, L'État vise le développement d'ordinateurs quantiques à destination des armées. Il a sollicité…

18 heures ago

Les frais de sortie en voie d’extinction chez les hyperscalers

Dans la lignée de Google Cloud et d'AWS, Microsoft met fin aux frais de sortie…

4 jours ago