Le RGPD* un mois après, où en sommes-nous ?

(*) Règlement Général sur la Protection des Données

A moins que vous n’ayez passé ces dernières semaines en orbite géostationnaire ou dans un état cryogénique, il apparaît peu probable que le sujet ait pu vous échapper : depuis le 25 mai 2018, l’Europe est submergée par un tsunami de bienveillance et de transparence vis-à-vis du traitement de nos données à caractère personnel. Prenant la forme d’un raz de marée juridico-numérico-médiatique, le RGPD inonde à vitesse grand V nos terres et nos nuages Européens ! La déferlante de ce Règlement au sigle guttural raisonne en effet dans tout le vieux continent mais également, à qui veut l’entendre, dans le monde entier.

Depuis cette date du 25 mai, les actions de communication tout azimut se multiplient … et ce n’est rien de le dire ! Les grands groupes et grandes organisations jurent solennellement, la main sur le cœur, prêter une allégeance aveugle au Règlement. De leur côté, les plus petites structures tentent, bon an mal an, de montrer patte blanche à l’ensemble de leur base CRM, à grand coup de communiqués. Qui n’a pas reçu un seul de ces emails me jette la première pierre : « vos données personnelles sont en sécurité chez nous, vous pouvez dormir tranquille ! ». Tels des justiciers masqués d’un bandeau cookie, les plus zélés s’arment même de nouvelles expressions idoines : registre de traitements, privacy by design, mentions légales, politique de gestion des données, session de sensibilisation, durée de conservation, … . Renforcé par cet Inventaire à la Prévert 2.0, ce vent de communication digne des plus grandes campagnes de spam aura, a minima, eu la vertu de s’inscrire comme un slogan dans toutes les têtes : « RGPD is watching you » … nous voilà bien rassurés !

Sur le terrain, la CNIL, qui assure une double fonction de contrôle et de conseil vis-à-vis du Règlement, travaille en permanence sur une boîte à outils de plus en plus exploitable. Partis d’une transposition stricte et rigide du Texte, les documents proposés aujourd’hui se veulent digestes et opérationnels. Le site CNIL constitue en cela une source d’éléments incontournables pour initier la démarche et la maintenir dans le temps.

Chez Référence DSI, nous avons la chance d’intervenir quotidiennement dans de nombreuses PME. Nous y occupons la fonction de DSI en Temps Partagé Augmenté, ce qui nous confère une place de choix pour participer pleinement à la mise en conformité au RGPD. Parfois acteur, parfois chef d’orchestre, nous nous adaptons à la structure et à la taille de l’organisation. En premier lieu, nous pouvons constater que, sur ce sujet, deux types d’organisation se distinguent :

  1. Celles qui traitent des données à caractère personnel dans le cadre de leurs activités métiers (traitement ou stockage de données pour des tiers, activités B to C,  …)
  2. Celles qui traitent des données à caractère personnel seulement dans le cadre de leurs activités de gestion (traitement de la paye, gestion des ressources humaines, …)

La première catégorie, souvent plus en avance que l’autre dans cette course à la conformité, a été alertée depuis plusieurs mois par ses propres clients, lors d’appels d’offres par exemple, les sommant d’être « compliance » à date. Mettant en péril une partie de leur business, elles ont pour la plupart pris le sujet à bras le corps : nomination d’un DPO, sensibilisation du personnel, feuille de route, rédaction de procédures … . Globalement, les messages sécuritaires passent, la culture du traitement de la donnée change et le rouage de l’amélioration continue semble enclenché.

La seconde catégorie ne s’est pas sentie concernée de suite. Cependant, de manière moins formelle, une partie a tout de même pris le train en marche, autour de la machine à café d’abord, puis de façon plus construite durant ce dernier mois. Nous voyons ainsi s’organiser ci et là des Comités de Pilotage RGPD, constitués pour le moment des Directions RH et SI, qui ne demandent qu’à s’étoffer.

En pratique, l’accompagnement de proximité que nous opérons auprès de ces deux types de structure nous a permis d’élaborer une méthodologie dont l’objectif est à la fois de cadrer les processus de gestion et les processus métiers. D’abord empirique, cette dernière s’appuie aujourd’hui sur notre pragmatisme, sur notre connaissance du tissu PME et sur notre sens aigüe de la capitalisation. Nous avons ainsi pu déterminer un mode opératoire permettant à chaque collaborateur Référence DSI d’initier une démarche RGPD structurée chez chacun de ses clients en tant que partie-prenante ou chef d’orchestre.

Un mois après le lancement des hostilités, peu d’organisations peuvent se targuer d’être totalement conformes. Toutefois, bien supportés par une communication pandémique, la prise de conscience est palpable et les actions deviennent concrètes. L’année 2018 va se poursuivre, les feuilles de route se dérouler et nous aurons probablement le loisir de voir fleurir les premières jurisprudences qui, peu ou prou, dicteront de nouvelles consignes pratiques. En attendant, pour les organisations ayant encore mis le sujet de côté, il est urgent d’emprunter le chemin de la conformité. Depuis un mois maintenant – et pour tous ceux à venir- le RGPD s’impose non pas comme un simple Règlement complémentaire, mais comme une nouvelle façon de concevoir la protection des données. Du reste, à y regarder de plus près et au-delà de la Donnée, ne serait-ce pas de l’individu lui-même dont il est ici question ?

Rédaction :

Fabrice Loire

Directeur des Systèmes d’Information à Temps Partagé Augmenté®

Référence DSI // Région Sud-Est