Incontestablement, le Règlement général sur la protection des données (RGPD) va profondément changer la donne en matière de gestion des données à caractère personnel. Dans ce contexte, les entreprises manipulant, exploitant et hébergeant des données vont devoir repenser leur modèle pour se conformer à cette nouvelle loi.

Avant toute chose, nous allons donner une rapide définition de ce que représente le RGPD. Le Règlement général sur la protection des données constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne.

Après quatre années de négociations législatives, le nouveau règlement européen sur la protection des données a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions seront directement applicables dans l'ensemble des 28 États membres de l'Union européenne à compter du 25 mai 2018. 

L’article 39 du RGPD définit également les missions du nouvel homme-clé du dispositif : le Délégué à la Protection des Données (DPO). Parmi celles-ci, on trouve :

« contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données… y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement… »

Au regard de cette définition, on comprend que les exploitants de données vont devoir intégrer très rapidement de nouvelles pratiques de gouvernance.

Une nécessaire sensibilisation des collaborateurs

Par ailleurs, indépendamment des aspects règlementaires, il apparait indispensable de sensibiliser les personnes aux enjeux liés à la protection de ces données. 

En effet, leur divulgation ou leur mauvaise utilisation est susceptible de porter atteinte au droit à la vie privée et aux libertés des personnes. Un effort est donc nécessaire pour aborder et maîtriser les éléments fondamentaux tels que :

- Les risques liés au traitement de données à caractère personnel (DCP)

- Le traitement des DCP et des données sensibles

- Le cadre juridique de la protection des DCP

- Les obligations d’un responsable de traitement

- Les droits des personnes face aux traitements de leurs DCP

- La protection des DCP au quotidien

- Le rôle du DPO et du CIL

- etc.

Le maillon faible qui pourrait impacter les entreprises au regard des nouvelles dispositions du RGPD est donc avant tout lié à la maîtrise de ses spécificités par les collaborateurs. Il convient de traiter ce problème au plus vite et de positionner la formation des équipes comme une priorité stratégique. 

Ce point rarement abordé est un élément sensible qui impose de prendre des mesures opérationnelles concrètes à grande échelle. Une fois encore la formation des hommes est donc un axe de vigilance à ne pas sous-estimer.

Attention aussi à utiliser des formats adaptés qui permettent de se former « sans contraintes » et de s’appuyer sur des cursus attractifs. Ce point permet de faire la différence par rapport aux approches présentielles souvent complexes à mettre en œuvre. En ce sens le digital offre une réponse pertinente.

Passer au RGPD nécessite donc un travail de fond pour en intégrer les subtilités et se conformer à cette réglementation qui viendra protéger les utilisateurs sur l’usage de leurs données à caractère personnel. Les directions générales doivent prendre conscience de ces éléments et intégrer cette thématique stratégique au sein de leur gouvernance opérationnelle.

Michel GERARD, Président de Conscio Technologies.