LA TENDANCE DU MOMENT

RGPD, c’est parti !

Depuis le 25 mai dernier, les entreprises sont censées être en conformité avec le règlement européen de protection des données personnelles. Une nouvelle Loi Informatique & Libertés a été votée le 14 Mai par l’Assemblée nationale et le Conseil Constitutionnel,
qui avait été saisi, a rendu son avis le 12 Juin. Tout est en place donc. Ce qui n’empêche pas certaines entreprises d’être passées en mode « panique » compte tenu de leur retard et des amendes prévues (4% du CA, 20 M€). Néanmoins, il faudra sans doute quelque temps à la CNIL pour s’organiser et passer en mode « autorité de contrôle » ce qui leur laisse un délai de grâce implicite.

Chaque français (ou presque) a reçu à la fin du mois de mai une avalanche de mails d’une multitude d’entreprises lui demandant de renouveler son consentement (ou parfois de le donner avec quelque retard) pour l’utilisation de ses données personnelles. Concrètement, un mail sur deux n’est pas conforme au RGPD : il respecte souvent mal
le principe d’informations (explications incomplètes), le principe de finalité (à quoi
vont être utilisées ces données), l’« opt-in » explicite, l’indication du délai de conservation, etc.

Pour les entreprises, le travail est loin d’être terminé : au-delà de la production du « registre des traitements », il faut être en mesure de donner des droits aux personnes qui en font la demande : accès, modification, effacement (droit à l’oubli), transfert des données et ce dans un délai d’un mois. Il faut sécuriser l’ensemble des traitements suivant le principe du « Privacy by design », mettre en conformité la sous-traitance et les transferts de données à l’étranger, être en mesure de détecter toute violation des données afin de prévenir l’autorité de contrôle sous 72 heures et toutes les personnes concernées (si nécessaire).

Autant dire un chantier critique avec des impacts informatiques majeurs (et coûteux).

Bernard Laur