Céline Avignon dresse pour ecommercemag.fr la feuille de route de la mise en conformité au RGPD avant le 25 mai 2018.
Directrice du département Publicité et Marketing électronique au sein du cabinet Lexing Alain Bensoussan Avocats, Céline Avignon décrypte pour le site ecommercemag.fr, le « média du cross canal », les enjeux de la mise en conformité au Règlement 2016/679 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD), à moins d’un an maintenant de son entrée en vigueur effective.
« 2017, la cote d’alerte »
Selon une enquête d’Arondor Serda Lab citée par Céline Avignon, « 55% des organisations ne savent pas que le RGPD entrera en vigueur en mai 2018 et qu’elles devront s’y conformer ». Et de citer la Présidente de la Cnil, Isabelle Falque Pierrotin, selon laquelle « 2017, c’est la cote d’alerte ».
Du côté des États membres, la France devra modifier sa loi Informatique et libertés pour la faire coïncider avec le RGPD : sans cette loi, le Règlement ne pourra être appliqué. Là encore, selon Céline Avignon, le temps presse : « ce projet devrait être adopté avant l’été, ce qui, compte tenu des échéances électorales à venir, semble ambitieux ». Pour résumer, « l’État a une pression pour élaborer un projet de loi nécessaire à l’application du RGPD et les entreprises doivent se préparer pour se mettre en conformité au texte, dont certaines dispositions renvoient au droit local non encore défini ».
Une chose est sûre : les entreprises privées et entités publiques doivent engager au plus vite une démarche de mise en conformité : « Tout le monde s’accorde à dire que ce qui compte est d’engager une démarche et de se mettre en posture pour 2018 ».
À cet égard, la tâche est, selon les professionnels, constituée de plus ou moins d’étapes : « La Cnil en relève 6, l’autorité de protection britannique 12 et la commission vie privée en Belgique, 13. Bien évidemment, selon le niveau de conformité initiale de l’organisme, la route de la conformité au RGPD pourra être jalonnée de moins d’étapes, puisque certaines obligations de la loi de 1978 sont reprises à l’identique, ou presque, dans le RGPD ».
Mise en conformité : quelle posture adopter ?
Alors, comment s’y prendre et comment mettre à profit le temps restant jusqu’à 2018, étant précisé que la taille de l’organisme est indifférente s’agissant des obligations ?
Céline Avignon détaille, dans son article, 5 règles à respecter :
1. Une décision de la direction générale : la démarche de mise en conformité doit être « initiée par la direction générale et entraîner l’ensemble des services pour devenir une nouvelle culture d’entreprise ».
2. La mise en place d’une organisation pour assurer la compliance : « Pour assurer la compliance, il faut désigner un pilote ». À cet égard, le RGPD impose, dans trois situations, la désignation d’un DPO ou délégué à la protection des données, nouveau personnage clé de l’environnement digital des entreprises.
3. Un état des lieux s’impose : « une fois l’organisation définie, il convient de réaliser un état des lieux pour établir un gap analysis (analyse d’écarts) ». À la suite de cette analyse, les zones de risque seront identifiées.
4. Se doter de politiques et de process : cela devient une nécessité en raison du principe de responsabilité ou d’accountability : « En effet, l’organisme, en cas de contrôle, devra être à même de démontrer qu’il a mis en œuvre les process, politiques et mesures organisationnelles pour respecter les RGPD ».
5. Adopter une démarche de privacy by design et de security by default : le RGPD impose ces deux démarches qui modifient le pilotage des projets au sein des organismes.
Le compte à rebours a commencé : les organisations doivent très vite prendre la mesure du RGPD et tout mettre en œuvre pour se mettre en conformité, compte tenu, notamment, des sanctions encourues.
Céline Avignon pour ecommercemag.fr, « [Tribune] RGPD : comment se mettre en posture de conformité pour 2018? », le 18 avril 2017
Eric Bonnet
Directeur du Département Communication juridique