La sécurisation des données personnelles va occuper une place de premier plan pour cette nouvelle année avec l’entrée en vigueur du règlement général sur la protection des données. Dans ce contexte, la majorité des cabinets de conseil accompagnent au quotidien les entreprises et entités publiques pour leur permettre de se conformer à ce règlement de portée européenne qui entrera en application dans cinq mois, soit en mai 2018. Mais comment se mettre en conformité ? Est-ce que les traditionnelles missions de consulting sont suffisantes ?
Rappel sur ce que représente le RGPD
Le règlement n° 2016/679, dit Règlement général sur la protection des données (RGPD) (en anglais : General Data Protection Regulation, GDPR), constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Après quatre années de négociations législatives, le nouveau règlement européen sur la protection des données a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions seront directement applicables dans l’ensemble des 28 États membres de l’Union européenne à compter du 25 mai 2018. Ce règlement remplace la directive sur la protection des données personnelles adoptée en 1995 (article 94(1) du règlement).
La dimension de Conseil
Que ce soit sur l’angle organisationnel (avec notamment l’identification d’un DPO), sur la dimension juridique ou sur la sécurité du système d’information, il convient d’adopter au plus tôt une démarche claire et exhaustive visant d’abord à savoir où l’entreprise se situe par rapport à ce nouveau référentiel et quelles sont les actions de remédiations à prioriser pour s’assurer de sa conformité.
C’est en ce sens que la dimension conseil, appuyée par des consultants expérimentés, prend tout son sens.
Le pilotage outillé de la démarche
Pour autant, force est de constater qu’un tel projet implique également de s’appuyer sur des infrastructures et outils dédiés. Ce point est rarement évoqué et pourtant fondamental afin d’assurer un bon pilotage et guidage de son projet, de bien mesurer les écarts pour assurer sa conformité, etc. Il sera alors possible d’industrialiser sa démarche et de simplifier son processus de mise en conformité. Cette partie très opérationnelle est fondamentale et vient compléter naturellement l’approche conseil préalablement évoquée.
La mise en conformité de son organisation par rapport au RGPD est donc un axe stratégique et complexe que les entreprises doivent impérativement traiter rapidement pour être prêtes à l’échéance. Attention donc à prendre les bonnes directions, à ne pas perdre de temps et à bien intégrer les spécificités d’un tel projet qui aura un impact fondamental au niveau de la gestion des masses de données personnelles qu’utilisent les entreprises au quotidien.
Mettre en place les actions pour être conforme en temps et en heure c’est bien ; s’assurer, au cours du temps, que cette conformité soit toujours d’actualité c’est mieux !