8 mois après l’application du RGPD, il est grand temps de faire le tri dans les informations contradictoires et dresser un premier bilan. Voici à notre sens le TOP 5 des erreurs qu’il est préférable d’éviter.
Erreur n°1 « Le DPO, c’est pour les grandes entreprises ou le CAC40 »
A y regarder de plus près, rares sont les organisations (responsables de traitement dans le jargon RGPD) qui peuvent échapper à une mise en conformité RGPD en bonne et due forme. Difficile d’éviter la désignation d’un DPO (Data Privacy Officer ou en français DPD Délégué à la Protection des Données) ou de se détourner de la mise en place d’un registre de traitement. En effet, toutes les organisations européennes publiques et les entités privées de 250 personnes doivent d’office s’y soumettre. A cela, s’ajoutent les entreprises susceptibles de traiter des données personnelles sensibles ou en volume (ou leurs sous-traitants). La sensibilité des données et la volumétrie étant difficile à qualifier au sens RGPD, le risque de ne pas s’y conformer n’est pas moindre. Enfin, l’ensemble des fournisseurs d’une organisation doit être conforme RGPD pour lui permettre de le devenir à son tour. Ne pas se conformer représente un risque réel de perdre des clients.
Erreur n° 2 « Les contrôles RGPD seront rares, on a 2 ans pour se mettre en conformité »
La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité qui se charge de contrôler le respect des dispositions du RGPD.
La pénalité en cas de non-conformité RGPD infligée par la CNIL peut atteindre 4% du chiffre d’affaires mondial. Elle dispose de son propre tribunal pour garantir son indépendance. La CNIL peut d’autre part obliger les entreprises à communiquer publiquement sur leur sanction d’où un risque de déficit d’image nuisible à l’évolution de l’activité. La CNIL émet des sanctions administratives qui peuvent être complétées par des sanctions pénales si la victime porte plainte.
Ce que l’on apprend des premiers contrôles est que la CNIL a bien annoncé que ses contrôles seraient limités sur 2018. Début 2019, Marie-Laure Denis est nommée nouvelle présidente de la CNIL. « La CNIL ne doit pas hésiter à recourir à la sanction : il en va de son autorité, de sa crédibilité », a-t-elle expliqué aux députés qui l’auditionnaient pour apprécier sa candidature. Dotée d’une nouvelle présidente et d’un budget revu à la hausse de 17 millions d’euros pour 2019, la CNIL est fin prête pour passer à la vitesse supérieure.
Un contrôle de la CNIL peut se déclencher sur simple dénonciation d’un citoyen européen ayant reçu un email sans son consentement préalable.
On notera que le RGPD inaugure l’ère de la responsabilisation des entreprises et du contrôle a posteriori. Dans ce nouveau contexte, les organisations doivent avoir engagé un plan d’action de mise en conformité et être en mesure de le démontrer en cas de contrôle. A défaut, les pénalités sont appliquées.
Erreur n°3 « Le RGPD, c’est avant tout un sujet sous la responsabilité des services juridiques »
Le RGPD commençant par « Règlement… », il n’y a qu’un pas pour transmettre la responsabilité exclusive de sa mise en conformité entre les mains des juristes et des avocats.
La mise en conformité se révèle être en réalité un chantier à l’échelle de l’ensemble de l’organisation où chaque service devra être impliqué juridiquement bien sûr mais aussi techniquement, tout ceci en étroite collaboration avec les métiers.
Pour les ETI et le CAC40, le démarrage du chantier RGPD passe inévitablement par une démarche d’acculturation des Directions Générales, des Directions informatiques, des Responsables des Ressources humaines ou encore du marketing et de la communication. Pour les TPE et PME, chaque collaborateur doit être investi de cette nouvelle mission. Chaque projet en cours et à venir sera analysé par les différents intervenants de l’entreprise en fonction des spécificités de la démarche.
Prenons le cas d’une campagne marketing. Il revient au donneur d’ordre (le marketing) d’expliciter les traitements associés et leurs finalités, puis les données qui seront associées à l’opération. L’équipe informatique va pouvoir réagir en termes de faisabilité et apporter un premier niveau de qualification RGPD : apprécier la sensibilité et la volumétrie des données personnelles, proposer différents niveaux de sécurisation et leurs budgets associés, les commerciaux : approfondir la pertinence en fonction des nouvelles contraintes, …
Le responsable juridique sera plutôt sollicité dans les situations atypiques et en cas de collision entre des règlements français spécifiques au métier de l’organisation et le règlement RGPD. Il s’agit dès lors, en l’absence de jurisprudence, de déterminer une position et d’être en mesure de la défendre au tribunal de la CNIL. Seul un juriste est en mesure d’agir à ce stade.
La mise en conformité RGPD est une démarche pluridisciplinaire orchestrée par un DPO où chaque intervenant de l’organisation doit être impliqué pour garantir le succès de la démarche.
Erreur n°4 « J’ai désigné un DPO, je suis donc conforme »
Le DPO est le chef d’orchestre de la mise en conformité RGPD puis de son maintien. Le RGDP fixe plusieurs missions au DPO : une mission d’avis et de conseil de l’entreprise, une mission de contrôle du respect du RGDP et enfin une mission de coopération en étant le point de contact avec les autorités de contrôle. Il(elle) a souvent été désigné(e) par défaut le 25 mai 2018, date de mise en conformité RGPD. Or, il(elle) doit être désigné(e) sur la base de ses qualités professionnelles et en particulier de ses connaissances spécialisées du droit, de la gestion de données (consistance, sécurité) et des spécificités RGPD du métier de son entreprise (transport, santé, …). Il(elle) peut être un membre du personnel (responsable de traitement) à la condition de ne pas appartenir au collège des cadres dirigeants de l’entreprise ou au département juridique (il(elle) serait dès lors juge et partie). Il(elle) doit être en mesure d’exercer ses fonctions en toute indépendance, sans recevoir aucune instruction. A cet égard, le(la) DPO peut être une personne externe et, dans ce cas, sa fonction peut être exercée sur la base d’un contrat de service.
Attention à la formation du DPO. Il n’existe à ce jour aucune certification CNIL (prévue courant 2019). On notera cependant un réel écart entre certaines formations DPO se déroulant en 5 jours et d’autres formations sur 18 mois. Le métier de DPO exige d’acquérir des connaissances :
- juridiques : culture générale avant d’aborder les spécificités du RGPD
- techniques (principalement autour de la data et de la sécurisation)
- métier
Le métier de DPO se professionnalise. Le règlement de la protection des données évolue chaque semaine (l’arrivée de l’ « e-privacy » courant 2019 représente un véritable parlier qu’il conviendra de bien maîtriser pour maintenir sa conformité). Le DPO ne peut plus être désigné par défaut.
Erreur n°5 « Nous avons évalué nos processus et sécurisé nos données donc nous sommes désormais conformes »
Les différentes situations évoquées plus haut le démontrent. La mise en conformité RGPD n’est pas l’affaire d’un seul département ou d’une seule expertise. Elle va souvent être l’occasion de repenser l’organisation de manière à garantir une fluidité entre les intervenants, un véritable partage des dispositions prises pour garantir et maintenir une conformité de qualité.
Top-Rgpd est un cabinet Conseil pluridisciplinaire (Avocat NTIC, DPO certifiés CNAM, experts IT+15 ans) spécialisé dans le RGPD. Nous proposons des prestations d’audit, d’accompagnement à la mise en conformité, de DPO externalisés et de formation certifiée CNIL.
