*GDPR en anglais
L’enjeu du GDPR est majeur pour toutes les activités
Depuis le 25 mai dernier, les entreprises européennes de plus de 250 collaborateurs sont passibles de pénalités, allant jusqu’à 10 % du chiffre d’affaires mondial, si elles ne respectent pas le Règlement Général sur la Protection des Données (RGPD). Ce règlement, qui modifie profondément le cadre juridique de la protection des données personnelles, a un impact majeur : il touche toutes les fonctions de l’entreprise susceptibles de collecter, traiter, exploiter ou stocker des données à caractère personnel. C’est le cas des Ressources Humaines bien sûr, mais aussi des ventes, du marketing, de la DSI, de la relation client, de la R&D… Sans oublier les sous-traitants et partenaires. Cependant, selon une étude IDC de 2017, 42 % des entreprises françaises prennent tout juste conscience du GDPR. Et selon une étude Véritas de 2017, 47 % des entreprises dans le monde craignent de ne pas être en conformité avec le règlement, dans les délais impartis par la législation.
Il est donc nécessaire de lancer un chantier de sensibilisation pour faire évoluer les mentalités.
Sensibiliser toutes les activités de l’entreprise
Avant de lancer toute réflexion sur la mise en conformité des traitements, il faut non seulement sensibiliser les partenaires et collaborateurs mais aussi et surtout la direction, qui devra s’approprier et porter ce projet stratégique.
Une sensibilisation – souvent initiée par la direction juridique ou la DSI – qui pourra être menée via des formations en présentiel ou e-learning, des serious games, des MOOCs gratuits (comme ceux de l’ANSSI, ou du CNAM), ou payants (par exemple le MOOC d’entreprise de LeanAssembly). La plupart des cabinets de conseil proposent également leur aide dans l’implémentation des procédures de mise en conformité avec le règlement. Prudence cependant : « pas mal d’opportunistes incompétents proposent de l’accompagnement GDPR », regrette Paul-Olivier Gibert, de l’Association Française des Correspondants aux Données Personnelles (AFDCP).
Cheminer par étapes
Pour se mettre concrètement en conformité avec le GDPR, différents organismes ou sociétés proposent d’avancer par étapes : 5 pour Gartner, 6 pour la CNIL, 12 pour IAPP (International Association of Privacy Professionals). Mais peu importe vraiment le nombre d’étapes, l’essentiel est de définir une feuille de route avec des jalons qui permettront de mesurer l’avancement du projet !
Ainsi, la démarche de la CNIL, souvent retenue par les entreprises françaises, indique de :
1. Désigner un pilote, chef d’orchestre et délégué à la protection des données, pour coordonner les actions et s’assurer que tous les métiers s’impliquent dans la démarche.
2. Cartographier les traitements impliquant des données personnelles et les localiser
3. Prioriser les actions, en fonction du niveau de risque de chacune des données ou catégories de données.
4. Gérer les risques, en menant une analyse d'impact sur la protection des données.
5. Mettre en place des processus internes garantissant la prise en compte de la protection des données, en ayant recours à des dispositifs de sécurité.
6. Documenter la conformité, afin de pouvoir la justifier en cas de contrôle.
Le graal de la mise en conformité : le privacy by design
Certains « bons élèves » n’ont pas attendu 2018 pour agir, et montrent la voie. Ainsi, la CNAF (Caisse nationale des allocations familiales), qui gère les données personnelles de millions de Français, avait nommé sa CIL (Correspondante Informatique et Liberté) dès 2012. Celle-ci s’est intéressée au GDPR avant même la parution du texte officiel. Elle a donc pu définir rapidement un plan d’action. Aujourd’hui, la CNAF dispose d’une cartographie précise, évoluant en temps réel, des traitements. Les directions métiers ont été sensibilisées, une clause nouvelle a été ajoutée aux contrats des sous-traitants. Et surtout, pour maintenir la conformité dans le temps, la CNAF a repensé la conduite de projet, pour passer au privacy by design : la compliance est intégrée dès la conception d’un traitement.
La Société Générale a elle aussi nommé dès le mois d’octobre 2017 un Data Protection Oficer (DPO), Antoine Pichot, précédemment codirecteur de la stratégie, du digital et de la relation client de la banque de détail en France. Pourtant étranger à la famille du juridique et des SI, le nouveau DPO a su faire évoluer le cadre afin de border les usages en matière de gestion de masse des données tout en se faisant le porte-voix des clients, de leurs interrogations et de leurs craintes.
Orange : déjà 3 étapes franchies !
Pour se préparer au GDPR, Orange Business adopte la démarche proposée par la CNIL. Depuis 2014, le Groupe Orange a accru son engagement en faveur de la protection des données, avec la Charte dédiée. Début 2018, Orange Business a aussi désigné un pilote, cartographié ses traitements et priorisé les actions qui seront menées dans l’année, et engagé les autres chantiers.
Fort de son expérience dans la cybersécurité, le Cloud et la transformation digitale des entreprises, Orange Business propose du conseil et de l’accompagnement pour la mise en conformité avec le GDPR, ainsi que des solutions plus techniques (sécurité, Cloud, anonymisation…) déjà éprouvées en interne ou commercialisées.