Le Règlement Général sur la Protection des Données n°2016/679 à un mois. On assiste depuis son entrée en vigueur à la tempête tous azimuts faisant voler dans tous les sens et contresens la protection des données personnelles. Voici quelques conseils pour retrouver le bon sens et faire de ce grand changement un bon changement.
Pas de panique : faites les choses bien !
Alors que tout le monde court, parfois dans le mur, à la “compliance” RGPD prenez du recul et le temps de bien faire. Comment éviter les pièges ?
N’ayez pas peur :
La première sanction de la CNIL post RGPD est récemment tombée conte la société Optical Center condamnée à 250 000 euros en raison de failles importantes dans ses systèmes de protection. Mais regardons de plus près, ce géant de l’optique déjà condamné par la CNIL en 2015 pour des raisons similaires était dans les radars de la CNIL bien avant le RGPD et a manifestement brulé et rebrulé quelques interdits. Rien de surprenant donc à le voir ici condamné et l’entrée en vigueur du RGPD n’y est pas pour grand chose.
Les premières plaintes déposées à la CNIL post RGPD sont elles aussi toutes très attendues. Formulées par le groupe de surveillance du net bien connu “None of your buisness” (NOYB), elles sont dirigées sans surprise contre les géants de la data Google Android, Facebook, WhatsApp etc, pour consentement forcé, bataille que NOYB mène (bien) depuis des années.
Il n’a pas donc été crée de grande armée du RGPD déployée à grande échelle pour effectuer un contrôle régulier et systématique (certains apprécierons le jeu de mot) de tous les utilisateurs de Data et punir en un temps record. Avant les sanctions, il y a les mises en demeure et avant cela les contrôles et avant cela du temps, donc n’ayez pas peur, vous ne serez pas sanctionné demain.
Ne faites pas vite :
On alerte sur cette grande réforme depuis des années, mais on a néanmoins observé (en France) un vent de panique et de précipitation générale, surtout depuis le 25 mai dernier, qui révèle absolument de tout et surtout beaucoup de n’importe quoi. On a tous reçu des déferlantes de mailings de contenus différents et souvent contradictoires dont peu étaient effectivement conformes au RGPD. Le pire étant ceux qui vous écrivaient « rien à changer »/« vous n’avez rien à faire ». Ceux là se seront donc, par précipitation, tiré une belle balle dans le pied et possiblement attiré l’attention des autorités et/ou de leurs partenaires sur leur manifeste non-compliance. Le RGPD n’est pas une course. Ne vous jetez pas dans la gueule du loup.
Faites bien :
4 points essentiels à garder à l’esprit. La compliance RGPD c’est :
- Un PROCESSUS : Si la nouvelle analyse d’impact préalable n’est pas obligatoire dans tous les cas, l’audit général de vos besoins, de votre état de protection et de vos objectifs est indispensable, prenez le temps de bien auditer et concevoir votre mise en conformité, puis seulement, agissez.
- Un TOUT, ou rien : Attention aux approches découpées du type: “on voudrait s’occuper des données de la RH seulement” ou “on voudrait juste mettre nos CGV à jour pour le moment on verra (ou pas) le reste plus tard”. Un bout de compliance ne suffit pas, la compliance implique de respecter tout le RGPD et pour tous vos traitements, pensez donc global.
- Une matière VIVANTE : Voyez plus loin que le bout du D ! Le RGPD s’inscrit dans un environnement et une mouvance juridique bien plus vaste que ce seul texte. En plus du RGPD, plusieurs autres textes s’appliquent ou s’appliquerons bientôt à vos usages de Data avec en tête de liste la Directive E-Privacy et/ou la réforme probable du Privacy Shield US. Appliquez donc le RGPD intelligemment et anticipez le futur proche pour éviter d’avoir à changer, encore, vos process et documents dans quelques mois.
- Une AUTO-NORME : il n’y a pas de validation de votre compliance a priori, tout se joue à la sortie, lors des contrôles. Enfin jusqu’à temps qu’il existe des organismes certificateurs ou des labels officiels, dans l’esprit des Normes ISO, par exemple. En attendant donc documentez toutes vos démarches et actions et conservez prudemment toutes vos preuves. Par exemple, si vous recueillez le consentement des individus, gardez bien les actes de consentement afin de pouvoir démontrer que vous les avez et surtout qu’ils sont valides au sens du RGPD.
RGPD n’est pas un gros mot : utilisez le changement à votre profit
On entend souvent RGPD évoqué comme une affreuse contrainte ou un vrai casse-tête mais c’est aussi ou plutôt (selon votre degré d’optimisme entrepreneurial) une vraie opportunité d’améliorer ou créer de la valeur.
Pensez la mise en conformité RGPD comme un déménagement :
- Triez : L’une des règles d’or du RGPD dite de la “protection par défaut” vous contraint à n’utiliser et conserver que les seules données dont vous avez strictement besoin pour satisfaire l’objet de votre traitement. Toutes les autres sont à jeter. Voila donc déjà des économies d’espace de stockage, de traitement et d’archivage.
- Mettez en cartons intelligemment : Rangez vos données par objectif de traitement (prospection, payes, satisfaction des commandes, etc) pour n’avoir qu’un objectif par fichier. C’est en effet essentiellement de la finalité du traitement que se définissent les obligations.
- Faites l’inventaire pour votre assurance : RGPD met à votre charge 3 nouveaux registres obligatoires. Faites en une force. Au delà des mentions obligatoires, répertoriez y toutes les informations utiles en cas de contrôle mais aussi pour votre suivi interne de compliance. Par exemple, ajoutez la référence à vos actes de consentement, la trace de vos envois/moyens de notification de droits, etc.
- Organisez l’arrivée utilement : Qui dit nouvelle maison dit nouveaux rangements! La seconde règle d’or du RGPD, le “Privacy by Design”, vous invite (fort) à choisir, dès leur conception, des moyens de protection pertinents.Choisissez donc des nouveaux outils de gestion, stockage et utilisation de données intelligents et pratiques pour répondre vite et bien à vos obligations nouvelles. Par exemple optez dès que possible pour la “pseudonymisation” (méthode d’organisation des données reposant sur l’utilisation d’un identifiant de corrélation permettant en cas de fuite d’une partie des données de ne pas pouvoir remonter à une personne identifiée). En prime, le recours à cette méthode vous exonère de l’obligation contraignante et coûteuse de devoir prévenir chaque personne individuellement en cas de défaillance dans vos systèmes. Choisissez également un système centralisé ou des outils de liaison entre vos fichiers vous permettant un accès immédiat à toutes les données d’une même personne très rapidement en cas d’obligation de suppression ou de portabilité notamment. Attention vos délais de réponse sont désormais très courts.
- Choisissez vos prestataires: Le RGPD vous impose d’exiger désormais plus de garanties à vos partenaires destinataires ou sous-traitants de vos données. C’est l’occasion d’auditer leur sérieux. Profitez en aussi pour créer des chartes de qualité ou cahiers des charges optimisés. Votre sérieux à vous n’en sera qu’honoré.
- Déballez prudemment: Déployer votre plan de mise en conformité pas à pas. Faites des tests, assurez que tout est en ordre. Documentez vos tests. Répétez régulièrement pour conserver votre conformité.
- Décorez/Optimisez: Le RGPD vous contraint à plus de lisibilité et de clarté dans l’information donnée aux personnes. Ne vous contenez donc pas d’ajouter quelques lignes en caractère 6 à des Conditions Générales de Vente illisibles. Mettez en avant votre nouvelle Politique de Protection des Données, harmonisez vos mentions pour rendre votre site plus attractif et lisible et rassurer vos partenaires. Soyez inventifs, faites de vos campagnes de mailings de mise à jour des outils pour obtenir d’avantage et/ou renforcer la valeur de vos données.
- Enjoy: Vous êtes désormais en pleine connaissance et contrôle de vos données et outils, vos données valent plus, vous avez meilleur contrôle de vos prestataires, vos partenaires vous aiment davantage, souriez vous êtes RGPD !