Le règlement général sur la protection des données (RGPD) impose aux entreprises françaises et européennes de revoir leurs pratiques de traitement des données clients, internes et externes. A l’heure du big data, les entreprises sont amenées à gérer des flux de données de plus en plus importants ; la mise en place d’une réglementation se révèle une mesure nécessaire pour la préservation des données sensibles.
Le RGPD se substitue à la directive sur la protection des données et prévoit de nouvelles conditions concernant la collecte, l’exploitation et le transfert des données, dont le non-respect entraînera de lourdes amendes. Toutefois, dans certains domaines, ses exigences restent vagues et il peut être complexe à mettre en œuvre. Pour y pallier, plusieurs entreprises ont nommé un délégué à la protection des données personnelles (DPO, Data Personal Officer), afin d’assurer son application. Le big data implique pour les entreprises la mise en oeuvre de moyens parfois difficiles à appliquer en interne : le délégué à la protection des données est un intermédiaire clé pour maîtriser les risques.
Le RGPD va modifier en profondeur le fonctionnement de tous les départements de l’entreprise (marketing, services RH, services juridiques, etc.). Il concerne les avis de confidentialité, les notifications de consentement ou encore les notifications de faille de sécurité. Dans les RH, l’indication « données personnelles » désignera désormais toute information permettant d’identifier une personne de façon directe ou indirecte (date de naissance, adresse IP ou nom). Les entreprises devront rendre ces données accessibles aux personnes concernées, permettre leur suppression – sous conditions –, et les informer sur leur durée de conservation et leurs mouvements. Les dirigeants cherchent à réajuster en conséquence leurs règles internes.
Règles internes : quelles modifications appliquer ?
Il est impératif pour les entreprises d’évaluer les risques potentiels liés à leurs pratiques courantes et de modifier les règles actuelles.
5. Anticiper les risques et les failles de sécurité de façon immédiate afin de protéger les données individuelles.
Quel rôle pour le délégué à la protection des données ?
L’article 37 (1) du RGPD exige la nomination d’un délégué à la protection des données (DPO) dans l’un de ces trois cas :
3. les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.
Après examen des lignes directrices du RGPD, les entreprises pourront nommer un délégué à la protection des données : une mesure encouragée par le RGPD.
Quelle est l’action du délégué à la protection des données ?
Garant de l’application du RGPD, dont le non-respect peut coûter jusqu’à 4% du chiffre d’affaires et entraîner l’interdiction de traiter les données personnelles, le délégué à la protection des données intervient en dehors du management. Il exerce une activité à plein temps qui requiert une parfaite connaissance des données de l’entreprise et de leur politique de traitement. Son rôle évoluera en fonction de l’émergence de nouvelles réglementations. Sans cet intermédiaire, nécessaire à la compréhension des directives de la RGPD, la gestion du traitement des données s’ajoutera aux attributions déjà nombreuses du Chief Digital Officer (CDO) ou du DSI, ce qui sera impossible à gérer.
Les entreprises doivent donc impérativement envisager d’intégrer cette compétence à leur personnel.