Les clichés simplistes qui ont envahi les réseaux sociaux autour de la RGPD doivent être examinés à la lumière de vraies valeurs de terrain.

Depuis plusieurs mois, les réseaux sociaux et Internet sont envahis par une immense quantité d’articles et de contenus autour du thème de la RGPD, la nouvelle réglementation européenne sur la protection des données personnelles qui entrera en vigueur le 25 Mai 2018.

Au delà des enjeux financiers et d’image imposés par la RGPD, la nouvelle réglementation a la capacité d’être un véritable catalyseur autour de la protection des données personnelles et de la sécurité et pourrait imposer une transformation à marche forcée à beaucoup d’entreprises.

Pour ce faire, il est essentiel de la placer dans un contexte juste et d’aller au-delà des clichés . Voir également notre livre blanc sur la RGPD

L’importance réelle de l’échéance du 25 Mai 2018 et la nature du besoin de conformité

Bien sûr, l’échéance du 25 Mai 2018 est importante mais les choses ne sont pas si simples.

Tout d’abord, le cadre de conformité n’est pas strictement clair : La réglementation emploie a de nombreux endroits une terminologie ambiguë, sur laquelle devra s’exercer l’interprétation des régulateurs.

Ce qui change clairement, c’est le niveau d’exposition de chaque entreprise, avec des amendes qui pourront – à partir de cette date – atteindre des dizaines ou des centaines de millions pour les plus grands groupes.

Cependant, il n’est pas possible de prévoir comment chaque régulateur domestique (la CNIL en France) interprétera chaque clause. Personne ne peut prédire le niveau réel auquel les premières véritables amendes seront fixées, et au vu des montants possibles, il est probable qu’elles seront sujettes à d’âpres discussions.

Face à cette incertitude, le maintien en conformité au-delà de cette date est également clé, et dans un contexte où la législation pourrait encore se durcir dans le futur, ou évoluer différemment pays par pays.

Pour les entreprises dont la maturité autour des problématiques de protection de données personnelles et de sécurité est déjà relativement élevée, il se peut que la mise en conformité RGPD soit un simple exercice d’alignement, mais pour les autres, cela peut se transformer en véritable problème de transformation.

Très franchement, celles qui n’ont jamais confronté ces problématiques dans le passé et les découvrent aujourd’hui dans leur intégralité, ont probablement un très sérieux problème face à elles qui pourrait bien prendre plus de 12 mois à résoudre.

Beaucoup des aspects contenus dans la RGPD ne sont pas nouveaux, mais ils accentuent les faiblesses de gouvernance internes de beaucoup d’entreprises en les forçant à adresser des problématiques essentiellement transverses avec lesquelles elles ont historiquement du mal.

Au-delà de la conformité brute, c’est la mise en place d’une dynamique transformationnelle et la crédibilité du support de l’exécutif qui seront les clés sur le cout a moyen-terme, jusqu’à ce que la poussière retombe sur tous les aspects juridiques.

Les éléments clés pour traiter la RGPD avec pragmatisme

La RGPD offre des leviers essentiels – les plus puissants depuis des années – pour pousser une réelle dynamique améliorative autour des problématiques de protection des données personnelles et de sécurité.

Elle introduit un risque réel d’impact matériel élevé pour les entreprises et leurs dirigeants

  • Mais il n’y a pas de solution technologique toute faite
  • Ne vous précipitez pas à nommer un DPD pour vous débarrasser du problème

Quel profil pour le Délégué à la Protection des Données (DPD) ou Data Privacy Officer (DPO) ?
  • Analysez d’abord votre maturité autour des problématiques de protection des données personnelles et de sécurité
  • Beaucoup d’aspects contenus dans la RGPD ne sont pas nouveaux et devraient être déjà mis en œuvre
  • Si votre maturité est faible, identifiez les facteurs bloquants qui vous ont empêché de progresser dans le passé et construisez un modèle de gouvernance qui les adresse autour de la mise en conformité RGPD
  • PUIS nommez un DPD qui assemblera un plan d’action clair et le poussera, afin d’avoir une position défendable au vu des régulateurs (indépendamment de votre situation de départ)

Au-delà de la conformité brute, c’est la mise en place d’une dynamique transformationnelle et la crédibilité du support de l’exécutif qui seront les clés sur le cout a moyen-terme, jusqu’à ce que la poussière retombe sur tous les aspects juridiques.

Livre blanc : La GDPR, un catalyseur pour engager une dynamique autour de la protection des données personnelles et de la sécurité

photo whote paper