RGPD 2018 : vers une meilleure gouvernance des données

Publié il y a · 3 min de lecture

Avec 100 pages d’obligations à respecter et 99 articles de loi, le Règlement européen sur la protection des données (RGPD, ou GDPR en anglais) représente une étape majeure dans le traitement de ces fichiers. Si les contraintes qu’il impose sont importantes, ce texte est aussi l’occasion d’optimiser la gestion des données dans votre entreprise.

Moins de 10 % des entreprises françaises estiment être en conformité avec le RGPD, selon une étude menée par IDC. Paradoxalement, la même étude montre que 80 % d’entre elles perçoivent ce règlement comme une opportunité importante pour améliorer la sécurisation et la confidentialité des données qu’elles utilisent.

L’échéance du 25 mai 2018 approchant, de plus en plus d’entreprises ont analysé les impacts juridiques du RGPD. Mais très peu se sont encore engagées dans la dimension SI du projet, avec une analyse d’impacts sur leur système d’information ou un plan d’action sur la manière dont elles doivent orchestrer la gouvernance des data. Or, les entreprises qui abordent le RGPD comme une nouvelle façon de développer leur activité et renforcer leur réputation constateront que les avantages à long terme vont bien au-delà de la seule sécurité.

Regagner la confiance

Les entreprises doivent s’appuyer sur ce texte pour mettre en avant leur gestion « licite, loyale et transparente » des données personnelles et ainsi rassurer leurs clients. Car les consommateurs et les internautes sont de plus en plus suspicieux. Selon le 5e baromètre de la confiance des Français dans le numérique, parue en 2016, 81 % se déclarent gênés (dont 33 % très gênés) par l’utilisation de leurs données personnelles à des fins de ciblage publicitaire. D’autre part, ils sont 74 % à se déclarer « de plus en plus méfiants à l’égard d’Internet et de la multiplication des occasions d’utilisation abusive de leurs données personnelles. »

Minimisation des données

Or, le RGPD vise un objectif prioritaire : renforcer les droits des citoyens en matière de protection de leurs données personnelles. Son article 5 stipule que les données personnelles doivent être : « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ». Les entreprises doivent donc se limiter à récolter les données qui sont « strictement nécessaires ». Si l’on prend le cas d’une newsletter envoyée à des prospects ou à des clients, une entreprise ne doit conserver qu’une seule donnée « nécessaire » : l’adresse email. De fait, la gouvernance des données doit tout d’abord entamer deux process :

  • purger l’ensemble des informations qui ne sont pas strictement nécessaires au sein des applications existantes ;
  • s’assurer de limiter les données collectées à l’avenir.

Le champ de ces obligations est très large et donc les départements concernés nombreux puisque ces restrictions s’appliquent aussi bien à la paie, qu’aux contrôles d’accès aux locaux, à la cantine, à la vidéosurveillance, à la géolocalisation de véhicules et même aux embauches (CV…).

Profilage

Cette volonté de renforcer la protection des citoyens s’exprime également par l’obligation de mettre en place un « DPIA » ( pour « Data Protection Impact Assessment »), en français « Analyse d’impact sur la protection des données » (la CNIL privilégiant l’abréviation EIVP, pour « Étude d’Impact sur la Vie Privée »).

Comme le précise l’article 35 du RGPD, ce DPIA n’est pas obligatoire pour l’ensemble des traitements. Il concerne uniquement les traitements présentant « un risque élevé pour les droits et libertés des personnes physiques » (RGPD article 35 – 1.). Cette description étant un peu vague, le texte donne quelques exemples pour lesquels le DPIA est obligatoire :

  • Les traitements à grande échelle ;
  • La surveillance systématique à grande échelle d’une zone accessible au public (notamment la vidéosurveillance) ;
  • Le traitement de données sensibles (données de santé, opinions politiques, orientation sexuelle) ;
  • L’évaluation ou la notation basée sur des données personnelles, y compris le profilage et la prédiction ;
  • Le traitement de données biométriques…

L’obligation de s’appuyer sur un DPIA représente également un argument supplémentaire visant à rassurer les personnes quant à l’usage de ce type d’informations très précises.

Transparence

Les entreprises qui suscitent de la confiance sont celles qui indiquent de façon transparente ce qu’elles font des informations qu’elles recueillent et qui laissent leurs clients contrôler leurs données personnelles. En revanche, celles qui dissimulent la manière dont elles se servent de ces informations et ne parviennent pas à fournir de la valeur en retour, risquent de perdre leur clientèle.

RGPD : Le guide pour les Petites et Moyennes Entreprises

Les informations dont vous avez besoin pour comprendre et aller de l’avant

Téléchargez gratuitement le livre blanc