1. Désigner un délégué à la protection des données
Avant même l'entrée en vigueur du RGPD, la Commission nationale de l'informatique et des libertés (Cnil) recommande aux entreprises de nommer un délégué à la protection des données (en anglais DPO, pour Data Protection Officer) et de lui attribuer un triple rôle: informer, conseiller et contrôler. «Nommer le DPO est une première étape obligatoire si l'entreprise gère des données sensibles ou des données personnelles à grande échelle, explique Céline Craipeau, spécialiste produit et solutions chez Tradelab. Étant le pilote de la mise en conformité, il ne doit pas être trop junior. Il devra impérativement disposer d’une forme d’indépendance qui lui permettra de mener jusqu'au bout les projets de mise en conformité.» Les entreprises qui ont déjà un Correspondant Informatique et Libertés (CIL), chargé de veiller au respect de la loi éponyme de 1978, disposent naturellement d’un temps d’avance. Le champ d’action des CIL et leurs compétences couvrent en grande partie ceux du DPO.
2. Cartographier les traitements de données personnelles
Les entreprises doivent recenser les données personnelles qu’elles collectent et le traitement qu'elles en font pour établir un registre des traitements, un document exigé par le RGPD. «C’est le cœur du RGPD, explique Céline Craipeau. Ce document liste tous les traitements de données personnelles réalisés par une entreprise. C’est une opération très chronophage, qui doit être menée par le DPO, mais elle implique aussi d’autres services comme la DSI ou les RH selon les traitements concernés.»
3. Prioriser les actions à mener
Construire le registre permet aussi de cerner les écarts entre l’existant et les exigences du RGPD. Il est alors possible d’identifier les actions à mener pour entrer en conformité. Pour définir leur priorité, il faut établir une étude d’impact sur la vie privée (EIVP). Elle fixera le risque que ces traitements font peser sur les droits et libertés des personnes concernées (voir point 4). «Typiquement, explique Céline Craipeau, cette phase permet de savoir si des données personnelles sont stockées aux États-Unis, de vérifier si l’entreprise concernée adhère au système américain Privacy Shield ou de mettre en place les clauses contractuelles prévues par la Cnil.» Les premières actions ne sont pas toutes très longues à mettre en œuvre, souligne de son côté Manuela Pacaud, directrice générale Business de Mediapost Communication. «Des actions simples et visibles, des "quick-win", doivent être menés avant le 25 mai, comme la mise à jour des mentions légales, la sécurisation du recueil de consentement, la modification des contrats des sous-traitants, des clients et des salariés, la création du registre des traitements, la documentation des procédures et la sensibilisation des salariés», détaille-t-elle.
4. Gérer les risques
Les traitements de données personnelles «susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées» requièrent donc une étude d’impact sur la vie privée (EIVP) de la part de l'entreprise (en anglais, Privacy Impact Assessment ou PIA). La Cnil prévoit de publier une liste des traitements qui exigent une EIVP et met déjà à la disposition des professionnels un logiciel libre afin qu’ils puissent procéder à cette évaluation.
5. Réviser les processus internes
Se conformer au RGPD va aussi exiger une refonte de certains processus internes. Désormais, les sous-traitants sont aussi tenus d’être en conformité. Les entreprises doivent donc réviser les contrats mais aussi vérifier que leurs sous-traitants ont pris les mesures nécessaires pour se conformer aux exigences du RGPD. Le recueil du consentement des personnes constitue un enjeu particulièrement déterminant (voir encadré). Selon Manuela Pacaud, le RGPD n’est pas une étape à franchir mais une culture à installer: «Après le 25 mai, l’enjeu clé sera d’installer la conformité dans le temps en pilotant des chantiers au long cours pour, par exemple, gérer les droits et habilitations en fonction des arrivées et départs des salariés, ou mettre à jour la description des traitements dans le registre.»
6. Documenter la conformité
Hormis les documents et procédures obligatoires prévues (registre des traitements, notification des failles de sécurité aux autorités et aux personnes concernées...), les entreprises doivent aussi documenter tous les processus assurant la conformité. Ces éléments serviront en cas de contrôle pour attester de la démarche.
3 questions à...
Jalna Soulage, consultant data de Cheetah Digital (ex-Experian Marketing Services)
Comment gérer la validité des consentements?
Nous recommandons de passer en revue l’ensemble des bases de données pour vérifier la validité du recueil du consentement. Six facteurs, par ordre décroissant d’importance, permettent de déterminer le risque : le niveau de consentement, le type de preuve disponible, la date d'engagement du dernier e-mail, la date de la dernière visite sur le web, le type de consentement et la date d'inscription.
Comment procéder à leur actualisation?
L’actualisation du consentement peut suivre différentes stratégies. Une actualisation «soft» peut surgir dans la phase de paiement en ligne, avec un bloc de contenu expliquant la réglementation et demandant de nouveau le consentement. Les consentements présentant un risque plus élevé, provenant de compétitions ou obtenus avec des incitations, exigent une autre démarche. Cela peut passer par un courrier postal ou un SMS si les personnes l’ont autorisé, qui les invite à visiter le site ou à scanner un QR code afin d’actualiser leur consentement.
Que risque l’entreprise?
Les sanctions ne sont pas à prendre à la légère. Au Royaume-Uni, la chaîne de pubs Wetherspoon a préféré détruire une base de plus de 600000 e-mails, qui n'aurait pas été conforme avec le RGPD, plutôt que de continuer à les utiliser et ainsi prendre le risque d'avoir à payer une amende [jusqu'à 4% du chiffre d'affaires mondial].