[Opinion] RGPD : il est encore temps de raccrocher les wagons !

La chaîne répressive de la Cnil s'exprime désormais à plein régime deux ans après l'entrée en application du RGPD (l'année 2019 parle d'elle-même : près de 15 000 plaintes, 500 contrôles et un total de quasi 55 millions d'euros d'amendes). 250 000 euros d'amendes pour Spartoo pour de nombreux manquements au RGPD, 500 000 euros pour Futura Internationale, publicité des sanctions.

En parallèle, la prise de conscience par les acteurs économiques qu'une mise en conformité est un enjeu de compétitivité et une opportunité pour maintenir la confiance de leurs clients/utilisateurs/ salariés gagne petit à petit du terrain. La multiplication tous azimuts de formations RGPD pour des Data Protection Officer (DPO) en devenir en est la meilleure démonstration et la vitalité du marché des solutions de gouvernance des données personnelles est bien réelle. Ajoutons à cela la Cnil qui continue de faire un formidable travail pédagogique à destination des entreprises.

Pour autant, la révolution RGPD a bien du mal à s'exprimer concrètement dans une grande majorité des entreprises, plus particulièrement les PME. N'étant pas un état de fait mais un processus vivant, mobilisant toutes les ressources de l'entreprise, l'atteinte d'un niveau de protection suffisant et adéquat compte tenu des risques de sanctions semble difficile à atteindre pour beaucoup d'entre elles. Faut-il pour autant baisser les bras ?

S'engager volontairement avec ses collaborateurs

La prise de conscience de l'ensemble des collaborateurs, y compris des dirigeants, est la première étape indispensable afin de consolider par la suite une mise en oeuvre conforme du RGPD dans toutes les strates de l'entreprise. Elle pourra être effectuée par un référent interne accompagné ou non par un conseil externe. L'essentiel est que cette personne référente puisse - au-delà de ses appétences à comprendre la règlementation et l'environnement technologiques de l'entreprise - disposer d'un sens pédagogique inné et d'une forte capacité à communiquer et convaincre ses interlocuteurs internes. Ce premier objectif est clair : faire de chaque salarié un protecteur des données personnelles !

Choisir un DPO interne ou mutualisé, un actif stratégique envisageable

Même si sa désignation n'est pas obligatoire légalement parlant (sauf conditions particulières) disposer d'un DPO internalisé ou externalisé, voire mutualisé entre différentes sociétés, est un excellent indicateur pour assurer son alignement avec le RGPD sur le long terme. Certaines thématiques sources d'amendes, à l'instar de l'absence de minimisation des données ou des mesures de sécurité, reçoivent conseil et trouvent des orientations avec le DPO, un acteur précis et agile.

Ne pas sous-estimer l'importance du changement des comportements

En matière de prospection commerciale par exemple, les équipes marketing et commerciales doivent faire leur propre conversion au RGPD. Tout d'abord en matière de collecte de données, qu'elles soient directement faites auprès de la personne qui sera sollicitée ou bien indirectement en achetant des fichiers clients, l'obligation d'information et de transparence sur ce qui est fait de la donnée devient un crédo indépassable. Cette démarche s'exprimera par l'écriture en amont d'une politique de confidentialité claire et pédagogique.

Par ailleurs, la légende urbaine entourant le recueil systématique d'un consentement devra être combattu et compris. Le consentement, base légale la plus médiatisée alors que le RGPD sortait des fonds baptismaux, ne concerne en définitive que les consommateurs non professionnels et non clients de l'entreprise.

Ne pas ignorer non plus les demandes d'opposition, de suppression, de limitation, d'accès ou bien encore de portabilité des personnes relatives à leurs données : le renforcement de ces droits participe désormais à l'état de l'art de la relation client.

Logiciel métier RGPD, une contribution déterminante

Justifier à tout moment sa conformité est l'une des exigences majeures posée par la réglementation : les entreprises doivent en effet mettre en oeuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

On ne le répétera jamais assez. S'acheter un comportement éthique autour de la donnée personnelle présuppose une conviction, une détermination et un engagement de l'entreprise. Les PME doivent se saisir du RGPD, avec pragmatisme, comme une étape indispensable vers une meilleure transition vers un numérique qui protège la data, patrimoine informationnel le plus précieux.

Pour en savoir plus

Grégoire Hanquier est directeur juridique, conformité & affaires publiques de Data Legal Drive, solutions métier RGPD pour les entreprises privées, publiques et les indépendants