Impacts du RGPD, retour sur la conférence DOCaufutur à Graphitec 2019

Le 4 juin dernier, lors du salon Graphitec qui se tenait à Paris Porte de Versailles, Corinne Estève Diemunsch nous a invité à nous intéresser à l’impact du RGPD sur les acteurs des métiers de la gestion documentaire et de l’industrie des arts graphiques.

La créatrice de DOCaufutur.fr, Présidente de l’agence TiKibuzz, à la Direction de la Communication, des RH et RSE de Limonetik, Corinne introduit la conférence en rappelant la place prépondérante du RGPD dans la presse depuis 2018. Des articles pour se préparer à la mise en place obligatoire aux pléthores d’avis d’experts; entre effets d’annonce et arnaques, quels sont les risques réels pour l’entreprise ? Qu’est-ce que le RGPD a vraiment changé dans le quotidien ?

Pour mieux appréhender le vrai du faux, trois experts témoignent, un an après l’entrée en vigueur du RGPD.

Retour sur un règlement qui fait couler de l’encre et use les micros des salles de conférence

Chantal Richardeau, responsable HSE à l’UNIIC rappelle que le RGPD est un règlement européen qui s’applique à la fois aux personnes physiques et aux données personnelles des personnes physiques. Ce règlement s’applique à l’ensemble des entités européennes : secteur public comme secteur privé.

« Certes, à certains égards, la loi de 1978 Informatique et Libertés protégeait déjà les personnes physiques. Mais cette loi demandait aux entreprises de déclarer leurs actions. A la différence, avec le RGPD on bascule dans un contrôle a posteriori. C’est aux entreprises de mettre en place un management qui va permettre au pouvoir public de vérifier si elles sont en conformité. » résume Chantal Richardeau.

Comme l’ajoute Nans Lorenzini, responsable juridique pour la FinTech Limonetik, la différence notable entre la loi de 78 et le RGPD réside dans la prise de responsabilité des acteurs. « Le contrôle a posteriori impose une remise en question pour toutes les entreprises : il faut devancer une règle qui n’a pas encore de précisions données par le législateur ».

C’est d’ailleurs ce qui explique la naissance du business des ‘experts du RGPD’. Et … le problème des faux ! Rappelons ici que vous ne pourrez jamais recevoir un courrier de la part de l’Europe : il n’y a pas d’ingérence possible. Pour Marlène Cailleau, Information Governance Manager et DPO pour Iron Mountain France, le bon réflexe est de communiquer en interne. De plus, il ne faut pas oublier que la CNIL est le seul organisme de contrôle pour la France.

80% des entreprises annoncent n’être toujours pas prêtes ni même préparées

Face à ce pourcentage, Corinne a posé la question suivante à nos experts : comment s’y prendre pour rentrer dans ce règlement de la manière la plus simple possible ? Comment faire de l’emailing si je n’ai plus de données clients ?

Pour Chantal Richardeau, de facto les premières données personnelles dont dispose une entreprise sont celles de ses employés. Ainsi la mise en place du RGPD devrait commencer par le traitement et la mise au norme de ces données quelle que soit la taille de l’entreprise.

« Très souvent, les PME externalisent leur service paye. Leur attention doit donc se porter sur leurs sous-traitants. Or l’expert-comptable fait partie de ces sous-traitants « stratégiques » puisqu’il a la même connaissance que l’employeur. Il faut donc inviter ses salariés à pouvoir réformer leurs données personnelles, à leurs redonner une emprise sur leurs données ».

Tous nos experts s’accordent pour dire qu’il faut s’appliquer à recenser tous les fichiers présents dans l’entreprise. C’est d’ailleurs l’un des premiers conseils donné dans le Cahier de recettes spécial RGPD réalisé par Iron Mountain; un vrai régal pour les papilles, les yeux et le cerveau! Cette première étape permet de savoir vis-à-vis de qui se mettre en conformité.

Nans Lorenzini insiste de son côté sur l’importance de mettre les informations à jour sur le site internet, véritable vitrine de l’entreprise; accessible par tout un chacun, encore plus pour une simple vérification de base par les autorités. En effet, même s’il ne s’agit pas d’un site marchand, le simple fait d’envoyer une newsletter demande l’utilisation d’une donnée personnelle.

« Il existe désormais une obligation sine qua non à informer l’individu que l’on récolte ses données; c’est simple mais il faut y penser et le faire! »

Tous conviennent de la difficulté à se retrouver dans ce règlement européen. D’où le besoin de nommer un DPO ou d’engager un consultant externe pour être accompagné.

Quel est ce nouveau métier : le DPO, né avec le RGPD ?

« Le DPO est une espèce apparue il y a environ deux ans pour les plus anciens », témoigne Marlène Cailleau. « Le Délégué à la Protection des Données (DPO) est un profil qui peut avoir plusieurs expériences : juriste, IT, responsable qualité… ».

Marlène Cailleau explique que son rôle est d’être le chef d’orchestre de la protection des données. Pour sa part, elle se repose à la fois sur le responsable DSI, mais aussi sur le marketing, la qualité et le juridique. « Personne ne peut avoir toutes ces casquettes ! ».

En tant que DPO pour la France, Marlène Cailleau insiste sur l’importance de former en interne ses équipes. « Le RGPD est un droit pour tous les citoyens européens. Il faut informer les collaborateurs de leur droit à l’oubli. ». Par ailleurs, il faut « prendre le RGPD comme un oignon« , faire de la pédagogie, commencer par des choses simples. La mise en conformité d’une entreprise au RGPD doit correspondre à un plan d’action pluriannuel.

« Est-ce qu’on risque vraiment quelque chose si on n’y va pas ? »

En effet, la question est légitime : le RGPD représente des dépenses importantes. Un chef d’entreprise peut-il choisir de ne pas se mettre en conformité parce que c’est trop coûteux ?

Pour Chantal Richardeau la réponse est clair : nul n’est censé ignorer la loi! Si pour l’instant la CNIL était bienveillante pendant la première année de mise en application, cela pourrait vite être amener à changer. Et les sanctions seront lourdes en conséquence.

La CNIL ne se refuse pas le droit de visiter les sites internet des entreprises pour prendre la température. Or dès lors que les contrôleurs de la CNIL rentreront dans les entreprises pour un contrôle, ils auront les mêmes pouvoirs que des inspecteurs. A partir de là, si l’entreprise n’a pas mis en place la réglementation, elle risque fort la mise en demeure.

Nans Lorenzini rappelle d’ailleurs la déclaration récente de la Présidente de la CNIL : « la période de bienveillance est terminée ». Ce qui veut dire que les contrôles vont commencer à s’intensifier.

Le RGPD : une opportunité pour les acteurs du business

C’est une évidence : être condamné pour non-respect du RGPD sera discriminant sur les marchés. La communication autour du RGPD va devenir un enjeu sérieux pour les entreprises. C’est d’ailleurs dans ce contexte que Nans Lorenzini note la multiplication du terme « RGPD compliance » dans les communications des entreprises. Pourtant, il n’y a pas encore de certification existante.

Pour Marlène Cailleau, ce qui est important et ce que le RGPD permet est d’apporter beaucoup de bon sens.

« Malheureusement on avait pris l’habitude de surconsommer. De faire beaucoup de choses en un clic et sans aucun contrôle. Le RGPD amène de la rationalisation : l’entreprise n’est pas propriétaire de la donnée. Elle en est seulement le gardien. Nous devons tous revenir à une « agriculture » raisonnée et raisonnable. »

Les entreprises numériques ont un gros travail à faire pour montrer leur effort de protection des données. D’une certaine manière, le RGPD permet d’avancer vers plus de rationnel et un développement responsable.

Les conseils avisés de nos experts RGPD

  • Si je ne sais pas par où commencer : prendre un expert pour faire un mini audit de mon entreprise
  • Informer et former en interne les collaborateurs à la manipulation de données personnelles
  • Mettre en conformité mon site internet
  • Considérer la CNIL comme ma meilleure amie : se servir de tous ses outils pédagogiques pour comprendre le RGPD
  • Si l’entreprise fait +200 salariés : nommer un DPO
Valentine
Arrivée sur terre il y a quelques lustres, Valentine entre aujourd’hui dans le métier de la communication. C’est non sans intrépidité qu’elle a intégré la Sorbonne en philosophie après une classe préparatoire littéraire (A/L). Après un mémoire sur la place de l’éthique dans la société actuelle à partir d’Aristote, Valentine poursuit son cursus en éthique appliquée. Autrement dit elle s’intéresse aux actions des entreprises et des institutions publiques, proposant alors des solutions de conseil afin d’accompagner leurs prises de décision. Au coeur de l’économie numérique, les rouages de la communication autour de l’innovation la passionnent. C’est pour cela que Valentine a rejoint l’équipe de Tikibuzz, une agence de communication et de marketing, en 2018. Aujourd’hui, elle a le plaisir de s’aventurer sur le terrain de l’éditique et de la gestion de la communication client, afin de vous proposer chers lecteurs, des reportages et des témoignages pour votre média DOCaufutur.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?