Dernière ligne droite avant le 25 mai 2018, date d’entrée en vigueur du règlement général sur la protection des données (RGPD), dans un contexte agité par le scandale Facebook/Cambridge Analytica.
Êtes-vous prêts pour le RGPD (Cf. chronique de Jérôme Freyermuth dans la newsletter du 20 novembre 2017) ? Qu’arrive-t-il si une entreprise n’est pas en conformité complète à l’échéance ?
Le 25 mai ne doit pas être vécu comme une date couperet. «Qui peut être prêt à 100 % sur des questions de données alors qu’elles sont aussi distribuées qu’elles le sont aujourd’hui ? Ce ne serait pas raisonnable. Nous nous mettons en ordre de marche et nous préparons des outils pour assister les entreprises dans leur équipement progressif» explique Isabelle Falque-Pierrotin, Présidente de la CNIL. Elle attend néanmoins des organisations qu’elles montrent des signes tangibles d’avancement dans leur démarche de mise en conformité.
S’il est donc illusoire de viser une conformité complète au RGPD fin mai, certaines dispositions peuvent toutefois être prises rapidement et permettre d’entamer efficacement un véritable programme de transformation. La clé de réussite est de s’appuyer rigoureusement sur les grands principes fondamentaux de la protection des données personnelles prescrits par la CNIL :
– Une connaissance poussée des traitements impliquant des données personnelles conduits par l’entreprise par la tenue d’un registre des traitements précis et exhaustif
– Une revue systématique des données afin de confirmer que leur collecte est justifiée et/ou proportionnée aux buts poursuivis ;
– La garantie de l’exercice des droits de personnes, notamment le droit à la portabilité et à l’opposition à une décision individuelle automatisée (profilage).
– La désignation d’un pilote ou d’un responsable pour la mise en conformité des données personnelles qui exercera une mission d’information, de conseil et de contrôle en interne.
Autant dire, que la RGPD n’est pas un long fleuve tranquille…