Tic-tac-tic-tac… A l’heure où j’écris ces lignes, il ne reste un peu moins de 3 mois avant la date « fatidique » de l’entrée en application du Règlement Général sur la Protection des Données, le fameux RGPD (ou GDPR pour General Data Protection Regulation). Mais au final, que se passera-t-il réellement le 25 mai 2018 ? Y aura-t-il vraiment un avant et un après ? Construirons-nous du jour au lendemain un monde fait de respect et d’amour pour les données de nos concitoyens ? Rien n’est moins sûr !
J’ai été invité à discuter de ce sujet avec Manuel Ortiz du cabinet d’avocats De Gaulle Fleurance & Associés dans l’émission LexTalk animée par Thomas Blard de Décideurs TV.
Je vous laisse apprécier le sujet en vidéo :
Cet article va me permettre de développer quelques idées-clés de ce court débat sur LexTalk.
RGPD : alors, est-il vraiment trop tard ?
Il est clair que les chantiers à mener sont conséquents… Et 3 mois n’y suffiront pas dans de nombreux cas. La conformité au RGPD ne s’applique pas comme un simple cahier des charges. C’est un projet de transformation qui doit s’opérer de façon transverse dans l’entreprise. Le règlement vise à faire des données personnelles un sujet-clé qui doit être adressé spécifiquement. Des mesures telles que le privacy-by-design marquent bien cette orientation.
Au-delà des incontournables travaux juridiques et informatiques, c’est la culture de l’entreprise vis-à-vis des questions de respect des données personnelles qui doit évoluer. Un travail de sensibilisation et de conduite du changement est ainsi à opérer auprès de toutes les personnes de l’entreprise en contact avec les données personnelles, et cela prend forcément du temps !
Travailler sa conformité de façon déterminée et raisonnée
Par ailleurs, la CNIL déclare avoir conscience du cap à passer pour la plupart des organisations. A tel point qu’Isabelle Falque-Pierrotin (Présidente de la CNIL et du G29, le groupe des CNIL européennes) rappelle dans les Échos que la CNIL « fera preuve de souplesse et de pragmatisme » , ou encore dans un échange sur BFM TV que « le 25 mai, il ne va pas y avoir une sorte de couperet annonciateur d’une pluie de sanctions ». En revanche, il est aussi rappelé que la « tolérance » sera moins forte sur les règles qui existent depuis plus de 20 ans. Les récents cas tels que ceux de Darty ou de Leroy Merlin prouvent d’ailleurs que la CNIL ne rabaisse pas sa vigilance en la matière.
Dans ce contexte, les entreprises n’ont pas d’autre choix que de travailler de façon déterminée et raisonnée à leur conformité. Si certains se posent encore la question de savoir s’il faut s’y mettre ou pas, les choses sont claires : il faut préparer sa mise en conformité ! Cette mise en conformité doit cependant être raisonnée et organisée sur les chantiers prioritaires.
« Le RGPD c’est comme le bio »
Alors oui, en fait pour moi, tout est là ! Plus j’y réfléchis, plus le parallèle entre l’alimentation Bio et les données RGPDisées est évident.
Pendant des décennies, on ne s’est pas (ou peu) posé la question de la qualité de notre alimentation et de notre agriculture => Aujourd’hui, la prise de conscience sur le sujet est énorme et les comportements changent.
C’est la même chose pour les données personnelles. Elles étaient vues comme un sujet annexe mais il va falloir en faire un vrai sujet central dans les projets et à l’échelle de l’organisation.
- Le bio nécessite de changer les modes de production et les pratiques de culture => Le RGPD nécessite de changer les modes de traitement des données et les outils
L’application du RGPD entraîne avec elle le déploiement de nouveaux processus, de nouveaux outils, de nouveaux métiers (avec le Data Protection Officer, ou DPO). Ce changement est certes complexe, voire coûteux, pourtant il est maintenant nécessaire et apportera au final d’excellentes choses pour les organisations. - Faire du Bio nous semblera évident dans seulement quelques années (là, c’est mon opinion, mon parti-pris…) => Travailler ses données avec RGPD ira encore plus vite.
Les analystes tels que Gartner prévoient que la totalité des entreprises sera en conformité à l’horizon 2023. La mise en conformité complète au niveau mondial ne prendra donc en réalité « que » 5 ans de plus qu’exigé. Et je vous assure qu’avec un peu de recul nos pratiques pré-RGPD nous paraîtront totalement hallucinantes. RGPD c’est en fait beaucoup de bon sens. - Travailler ses récoltes en bio, c’est bon pour la santé => Travailler ses données, c’est bon pour la santé de l’entreprise.
En effet, les données sont un puissant accélérateur de business. Toutes les entreprises qui ont travaillé cette matière première pour la valoriser avec de l’analytics, de l’intelligence artificielle ou des applications data-driven temps-réel savent en dégager de la valeur avec des retours sur investissement très courts. - Le label Bio donne de la confiance sur les produits consommés => Le respect de RGPD permet d’instaurer la confiance avec toutes les personnes de l’éco-système de l’organisation (collaborateurs, clients, prospects, fournisseurs, etc.).
Et c’est certainement l’âme du règlement. L’instauration d’un cadre de confiance. Et on le sait tous, il n’y a pas de business possible sans confiance, c’est la base même du commerce.
Alors, si vous aussi vous vous mettez à manger Bio pour votre santé, pensez qu’il faut faire de même avec RGPD pour la santé financière de votre entreprise.
Votre adresse de messagerie est uniquement utilisée par Business & Decision, responsable de traitement, aux fins de traitement de votre demande et d’envoi de toute communication de Business & Decision en relation avec votre demande uniquement. En savoir plus sur la gestion de vos données et vos droits.