Découvrez nos offres pour faire du digital le levier de votre croissance !
Téléchargez le Guide Ultime de gestion de projet digitale pour vous aider à piloter vos transformations et faire les bons choix !
Le RGPD définit le cadre dans lequel les organisations peuvent traiter les données personnelles. Le 25 mai 2018, toutes les organisations de l'Union Européenne devront s'y conformer, sous peine de se voir infliger des amendes équivalentes à 2 ou 4% du CA mondial.
Il s'agit d'un règlement européen (règlement UE 2016/679 du 27 avril 2016) qui se substitue à la loi Informatique et Libertés de 1978. Il est d’application directe, c’est-à-dire qu’il ne nécessite pas de transposition en droit interne ou de décret d’application, et deviendra effectif le 25 mai 2018. A cette date, l’ensemble des organisations traitant ou stockant des données à caractères personnelles devront être en conformité.
Son champ d’application est large puisqu’il concerne :
Cette deuxième condition concerne ainsi toutes les organisations, en particulier les entreprises, quel que soit leur taille, dans la mesure où celles-ci gèrent les données de leurs collaborateurs, mais aussi de leur clients notamment au travers de leur présence en ligne sur les sites de e-commerce ou les réseaux sociaux.
La logique même de la RGPD n’est pas nouvelle puisque les principes relatifs aux données à caractère personnel de la loi de 1978 sont présents. Le règlement introduit en revanche des exigences renforcées.
La loi de 1978 s’attachait essentiellement à garantir un cadre légal pour :
Finalement, si la loi Informatique et Libertés a permis de poser les bases des principes de protection des données personnelles, l’approche du règlement RGPD est profondément revue et surtout, sa déclinaison opérationnelle sera très différente.
L’emballement vient surtout du fait que le RGPD fait peser de nouveaux risques pour tout éditeur de site et d'application Web. Les sanctions financières qui avant n’excédaient pas les 150 000 euros deviennent véritablement coercitives et font même peser un risque grave sur les entreprises. Le montant des amendes encourues est sans précédent :
A cela s’ajoute les montants potentiellement liés aux réclamations et aux demandes d’indemnisation en cas d’actions de groupe ou d’actions individuelles. L’autre risque à prendre en compte pour les entreprises, est le risque image. Dans ce nouveau contexte règlementaire très fort, les probabilités d’atteintes à la réputation sont accrues. On risque même de voir émerger une nouvelle forme de cybercriminalité, liée au chantage numérique avec menaces de révélations publiques.
Le RGPD est un règlement encore jeune. Les notions manipulées sont complexes (données à caractère personnel, finalité, traitement, risques sur les droits et libertés des personnes) et sujettes à interprétation en l’absence préliminaire de jurisprudence. Ces notions doivent donc être appréciées dans le contexte précis des métiers des entreprises.
Au-delà de ça, il y a une organisation nouvelle et transverse à mettre en œuvre à l’intérieur et à l’extérieur de l’organisation. Il faut attribuer les différents rôles aux différents acteurs impliqués, désigner le ou les Data Privacy Officer prévu par le règlement (sorte de chef d’orchestre de la démarche RGPD au sein de l’entreprise, à la croisée des chemins entre l’expert juridique, le technicien informatique, le chef de projet SI et l’auditeur interne), et surtout, parvenir à impliquer tous les acteurs et à trouver la dynamique souhaitée.
En définitive, le RGPD n’est pas une simple modification de processus mais un véritable projet de transformation de l’organisation, qui exige une cartographie exhaustive de l’ensemble des processus impactés, l’intégration du privacy by design et du security by default dans tous les projets importants et surtout un dépassement des obstacles culturels qui pourraient perdurer. Face à ces chantiers, la bonne solution peut être de se faire accompagner.