1 - Prendre le sujet au sérieux
La révision du règlement européen sur la protection de la donnée n’est pas anodine. Si jusqu’à maintenant les sanctions ne dépassaient pas les 150 000 euros en cas de non-conformité, elles peuvent aller désormais de 3 à 20 millions d’euros, voire jusqu'à 4% du chiffre d’affaires mondial. «De tels chiffres permettent de convaincre la direction générale d’investir. Cela devient une affaire de ROI», explique Martine Ricouart, vice-présidente de l’Association française des correspondants aux données personnelles (AFCDP).
2 - Penser positif
Le nouveau règlement change surtout la donne en termes de sécurité des données personnelles. « Il faut prendre cela comme un changement d’éthique et non pas une contrainte. Le règlement allège énormément les formalités déclaratives, notamment auprès de la Cnil. Mais c’est à l’entreprise de se prendre en charge, au sens du principe de l’accountability [obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données]», poursuit Martine Ricouart. Elle devra rendre compte de la bonne tenue de ses données à tout moment, à la Cnil, à ses clients ou à ses actionnaires. «De plus, cela ne s’applique pas qu’à des données clients, mais aussi aux données RH!», ajoute la vice-présidente de l'AFCDP. Parfois plus sensibles que les données marketing. En outre, le texte de loi clarifie les processus et favorise la collaboration entre les équipes.
3 - Créer une gouvernance de la donnée
Le meilleur moyen de manifester en interne ce changement d’éthique est de créer une gouvernance de la donnée. C’est-à-dire de se doter au moins d'un poste de délégué à la protection des données. La loi ne l’impose pas, sauf dans certains cas précis, mais cela est fortement recommandé. «Dans tous les cas, étant tenue de rendre compte de sa conformité, la société devra documenter et garder des traces des opérations qu’elle effectue», précise Martine Ricouart.
4 - Revoir ses relations commerciales
Que l’on soit donneur d’ordre ou sous-traitant, le nouveau règlement aura un impact sur toutes les relations commerciales, notamment avec des répercussions dans les contrats. «Depuis 1978, le sous-traitant n’était tenu que de veiller à la sécurité des données, argue Martine Ricouart. Demain, il sera responsable au même titre que celui qui effectue le traitement de la donnée.» Il devra avoir lui aussi une gouvernance de la donnée et en donner la preuve. Et surtout, il devra alerter l’autorité en cas de non respect de la loi. «S’il le sait, ou qu'il est possible de prouver qu’il le savait, le prestataire peut être mis en cause directement, au même titre que le donneur d’ordre.» La responsabilité et la sanction seront ainsi partagées. Dans ses contrats, le donneur d’ordre, lui, doit ainsi anticiper la responsabilité de son sous-traitant. Car en cas de pépin, ce sont les contrats qui feront foi.
5 - Revoir les process internes
La nouvelle loi donne plus d’importance à la «privacy by design», c’est-à-dire le fait de la prendre en compte directement dans les procédés internes de l’entreprise. «Lors du lancement d’une appli, on demande souvent, le jour même de la mise sur le marché du projet, de voir s’il est bien en conformité, raconte la vice-présidente de l’AFCDP. Parfois cela redemande des mises à jour ultérieures. Il faudra désormais l’aval du délégué à la protection des données, avant même de développer l’application ou le site internet.» Et ainsi intégrer la protection de la vie personnelle dès le départ du projet. De quoi faire collaborer encore plus les équipes… et désiloter!