RGPD : après le 25 mai, quelles actions moyen et long terme ?

Après les principales mesures de mise en conformité, quelles actions peuvent être engagées à moyen et long terme ? Faut-il attendre la jurisprudence ? Recommandations d’experts et avocats spécialisés.

Le 25 mai 2018, une fois les principales dispositions mises en œuvre pour être en conformité  avec le nouveau règlement RGDP , tout nouveau traitement devra être conforme dès la conception, et correctement protégé. 

Mais il restera encore beaucoup faire. « Lorsque les principaux points ont été traités en priorité, pour ne pas risquer d’être exposé aux sanctions et amendes, il faut continuer d’avancer sur les chantiers présentés dans la ’road map’ à moyen et long terme », répond Arnaud de Chambourcy, « Practise Manager » de la SSII Umanis.

La règlementation considère effectivement que la mission du DPO (délégué à la protection des données) est permanente. Elle s’inscrit dans une démarche d’amélioration continue.

« Il s’agit, dès lors, de continuer la mise en place des meilleures procédures. Il peut s’agir de vrais projets informatiques ou de «programmes» à engager sur des délais classiques de 6 à 18 mois, observe l’expert d’Umanis.

Face aux risques des actions collectives

Personne ne sait avec précision quelles actions et quels contrôles va exercer la CNIL. Elle le fera progressivement, dit-on. En revanche, il faut intégrer que entreprises et organisations s’exposent à des actions collectives (« class action », en anglais) par les usagers, clients ou consommateurs. « Le risque d’être contrevenant est toujours réel », souligne A. de Chambourcy.

Parmi les chantiers à moyen et long terme, on peut mentionner le droit d’accès (avec rectification, opposition et effacement); de même que le droit à la portabilité  qui doit permettre aux intéressés de récupérer un fichier transmissible par voie électronique à une tierce-partie, typiquement en cas de changement de prestataire.`

Le volet  » information / communication » peut également constituer un programme important.  Il convient notamment d’être transparent sur la finalité des traitements : si je donne mes coordonnées personnelles pour un service bien spécifique ; il n’est pas question de les utiliser pour un autre objectif.

« Les modalités de collecte des données doivent être loyales, licites et transparentes », souligne A. de Chambourcy. Le cas échéant, pour des traitements de back-office en « near-shore » ou « off-shore » (centre de conseil ou dépannage au Maghreb ou en Inde, par exemple), il faut informer que les données sont susceptibles d’être exposées hors de l’U.E.

Opportunités commerciales et révision de sa stratégie digitale

Le respect de la nouvelle règlementation peut ouvrir de réelles opportunités commerciales : « Si l’on positive, cette surcouche de contraintes règlementaire peut se retourner en une mine d’or », considère Arnaud de Chambourcy, 

« En se mettant en ordre de marche, les entreprises vont pouvoir communiquer des atouts concurrentiels auprès de leurs clients. Elles peuvent, par exemple, déclarer ne pas monétiser l’utilisation des données à caractère personnel ou le faire dans leur intérêt en obtenant leur adhésion, par exemple sur le choix du ou des points de vente ou points de contact qui ont choisis ».

Une telle démarche incite à créer sinon revisiter sa stratégie digitale. Elle conduit à restructurer le traitement des bases de données, comportant des données privées. Non seulement, je respecte la règlementation aux yeux de mes usagers ou clients, mais je leur propose, en étant transparent, d’en tirer parti pour améliorer le service ».

Principe de responsabilité

Cette approche transparente s’avère d’autant plus opportune que des grands groupes, comme Direct Energie, se sont exposés à une mise en demeure de la CNIL. L’organisme dénonce la duplicité de la demande de consentement auprès de ses abonnés pour obtenir un accord  d’exploitation  des données très fines sur la consommation d’énergie collectées via le compteur Linky.

Ce cas d’espèce pose le principe de responsabilité entre sous-traitants et fournisseur collecteur et détenteur des données (et jamais « propriétaire », car la donnée reste la propriété des personnes). Le détenteur collecteur des données devient responsable de la bonne application des règles par ses sous-traitants.

Avancer sur le juridique et l’informatique

« Il faut être pragmatique, et intervenir à la fois sur le juridique, le technique et l’informatique » souligne Anthony Coquer, directeur de département au sein du cabinet Alain Bensoussan Lexing.

Il existe des outils, comme le DPIA (Data Protection Impact Assessment) pour faciliter les diverses tâches mais également des codes de conduite ou des guides de bonnes pratiques comme celui de l’ICO (R.U.).

La cartographie des données personnelles, dans les fichiers ou applications, peut impliquer une centaine de traitements. « Il est donc recommandé de prévoir un plan de priorisation en fonction de la nature et du caractère sensible des données » insiste Anthony Coquer.

La mise en place des procédures de sécurité, de traçabilité constitue également, en soi, un processus d’amélioration en continu.

Il est ainsi bienvenu de procéder à des diagnostics ou audits de conformité de l’entreprise :  » On peut agir de façon ponctuelle en fonction de l’analyse d’impact. Sur certains aspects, il peut être opportun de recourir à un support » pointe-t-il.