La conformité au RGPD concerne évidemment tous les collaborateurs de l’entreprise. Elle dépend autant des acteurs de l’organisation que l’harmonie d’un concert concerne tous les musiciens d’un orchestre.
Si le chef d’orchestre, en l’occurrence le PDG de l’entreprise, délègue à son DPD (Délégué à la Protection des Données) ou DPO (Data Protection Officer), il n’en reste pas moins que pour le tempo de la mise en conformité, la responsabilité de chaque collaborateur de l’entreprise est engagée. Si chaque musicien contribue à la beauté de l’œuvre musicale, chaque collaborateur est porteur de la sécurité et de la confiance placée dans les processus de l’entreprise. A la moindre fausse note, le résultat peut être catastrophique. A la moindre faille de sécurité, la non-conformité peut l’être tout autant.
Pour continuer avec cette métaphore, dans un orchestre, chacun est responsable de s’entraîner à jouer une partition pour toujours s’améliorer et, en particulier, doit prendre soin de son instrument pour qu’il donne toujours la meilleure sonorité. Dans l’entreprise, la démarche est similaire, chaque collaborateur, ou service, est conduit à s’interroger régulièrement sur les données et les traitements et à veiller en permanence au respect des consignes de sécurité, pour s’assurer de rester en conformité.
Plus que pour toute autre activité de l’entreprise, la justesse du musicien est attendue dans l’action de chaque collaborateur. Et dans chaque activité.
Le marketing : garantir la transparence
Les obligations principales du marketing concernent la clarté dans la finalité de la collecte des données clients, avec une préoccupation totale de transparence et la mise à disposition de capacités de mise à jour par le propriétaire des données. On peut noter aussi l’obligation de destruction des données de prospection au-delà de trois ans.
Pour s’assurer de respecter ces principes, le choix d’une base centralisée avec des données marquées (nature et date) s’avère généralement nécessaire pour en faciliter la gestion et en maîtriser plus facilement la sécurité.
La communication : maîtriser les messages
L’obtention du consentement (Opt-in), préalable à l’adressage de messages promotionnels, est exigé au même titre que la mise à disposition d’une capacité à répudier le consentement (Opt-out). Sur le site Web de l’entreprise, la politique de cookies appliquée et les mentions légales du site doivent être documentées avec la plus grande clarté. Une communication d’entreprise maîtrisée des messages portés est dorénavant, et plus que jamais, responsable de la gestion précise des droits des destinataires.
Les ventes : nettoyer les données obsolètes
Si le marketing et la communication génèrent des opportunités qualifiées, on peut penser réaliser des ventes et engager un dialogue en profondeur avec les clients. Cette relation peut conduire à des contrats pluriannuels, au cours desquels les échanges contribuent à construire de solides relations. Pour autant, la responsabilité de l’entreprise en fin de contrat de service, ou de vente, consiste à détruire les documents échangés lorsqu’ils ne présentent plus d’intérêt administratif. Des délais de trois ou cinq ans après une fin de projet client sont généralement admis.
La gestion de projet : limiter l’accès aux données
Dans les projets, la collecte des données à caractère personnel doit être adéquate, pertinente et limitée à ce qui est absolument nécessaire au bon accomplissement de la réalisation de la vente ou du service. Les différents intervenants sur un projet doivent impérativement respecter les règles de sécurité du client et s’assurer que les documents du projet sont isolés, identifiés avec un accès restreint aux seules personnes porteuses de missions sur ledit projet. Il convient de limiter l’accès aux données à caractère personnel.
Les ressources humaines : sensibiliser en permanence
L’accompagnement des salariés dans leurs comportements est essentiel pour assurer la confidentialité des données à caractère personnel. Il est mené par des formations et des campagnes de sensibilisation, le respect d’une charte informatique et la mise en œuvre de bonnes pratiques à respecter. La direction des RH regroupe de nombreuses dispositions au sein du code de conduite des employés.
Le juridique : clarifier les contrats
Il est généralement dévolu à la direction juridique la conduite des opérations de documentation des registres de traitement de données et des mesures techniques et organisationnelles de protection. Il lui est aussi confiée la mise à jour de tous les contrats commerciaux pour clarifier la prise en compte de la conformité RGPD entre le client et son fournisseur, ou prestataire. Cela offre notamment l’occasion d’adapter les contrats de prestations si cela est requis.
La finance : jouer le rôle de tiers de confiance
Les directions financières font circuler les documents et conservent des pièces administratives obligatoires pour la gestion de la conformité. Elles doivent impérativement contrôler et tracer la circulation des documents. L’archivage électronique, dans le respect des durées de conservation, sécurise les données à caractère personnel en limitant l’accès aux informations.
Le système d’information : sécuriser les points de vulnérabilité
Le système d’information constitue, à l’évidence, un risque majeur pour la sécurité des données à caractère personnel et il a souvent une responsabilité marquée dans la notification des violations de données. Pour sécuriser le système d’information, la certification ISMS (Information Security Management System), à l’aune de la norme ISO 27001, est essentielle. Elle permet, notamment, une parfaite gestion des incidents de sécurité. Il faut aussi compter sur la vérification des conditions de sauvegarde et la mise en œuvre de dispositifs de sécurité contre les malwares ou les intrusions, indispensables pour garantir la sécurité des données.
Les services : adapter les modalités
La gestion des services rendus, d’entreprises à entreprises ou d’entreprises à consommateurs, méritent une attention toute particulière. La description des instructions du client et des traitements réalisés est une exigence forte de la conformité au RGPD. Il convient d’adapter les conventions de services, afin d’y apporter toutes les précisions utiles à la prise en compte de la réalité des opérations engagées. Il peut aussi s’avérer nécessaire d’arrêter certaines prestations n’offrant pas toutes les garanties.
Le support technique et la maintenance : contrôler les sous-traitants
Si le premier niveau de support et de maintenance est généralement mené par l’entreprise utilisatrice des logiciels ou des matériels utiles aux traitements, il est fréquent de faire appel à des tiers pour les niveaux 2 et 3. Il s’agit alors de revenir aux principes des contrats de services et, parfois, d’ajouter des principes spécifiques en raison du caractère opérationnel de ces dispositifs.
Cet article a été écrit par Jean-Pierre Blanger, directeur Solutions, Service & Innovation chez Ricoh France
Les chiffres clés du RGPD
- 45 % des PME françaises n’ont pas renforcé leurs mesures de sécurité suite à l’entrée en vigueur du RGPD.
- 37 % des DSI étaient confiants (à fin 2018) dans une conformité totale de leur entreprise avec les règles du RGPD.
- 77 % des PME françaises n’ont pas réalisé d’audit RGPD en 2018.
- 1/3 des DSI français seraient prêts à payer une rançon pour éviter les amendes liées au RGPD.
- 0,07 % seulement des internautes consultent le centre de préférence pour paramétrer leur consentement RGPD.
- 88 % des sites Web ont un message de collecte du consentement RGPD.
- 65 % des internautes donnent leur consentement RGPD.
- 48 % des patrons de TPE-PME ne sont pas certains d’être en règle avec le RGPD (34 %) voire sont pleinement conscients de ne pas l’être (14 %).
- 41 % des dirigeants de PME ont tenté de se débrouiller pour se mettre en conformité sans trop savoir comment s’y prendre.
- 76% des organisations françaises n’ont pu répondre aux demandes de particuliers cherchant à obtenir une copie de leurs données personnelles dans le délai d’un mois requis par le RGPD.
Sources : Talend, Kaspersky, Euler-Hermes, Sophos, Commanders Act, Captain Contrat.
La protection des données personnelles allonge les cycles de vente
Selon l’étude Data Privacy Benchmark 2019 publiée par Cisco, les dispositions visant à renforcer la protection des données personnelles, notamment le RGPD, entraîne un allongement des cycles de ventes. Ainsi, 87 % des entreprises connaissent des retards dans leur cycle de vente en raison des préoccupations des clients ou prospects en matière de protection de la vie privée, contre 66 % l’an dernier. « Cela s’explique probablement par la sensibilisation accrue à la protection de la vie privée qu’a suscité la publication de RGPD et par les fréquentes atteintes à la protection des données dont font état les médias », souligne l’étude. Selon les auteurs, « des délais de vente plus longs peuvent être attribués à des secteurs où les exigences en matière de protection de la vie privée sont élevées ou en transition. Les retards de ventes peuvent entraîner un manque à gagner lié à la rémunération, le financement et les relations avec les investisseurs. Cela peut également devenir des ventes perdues si un client potentiel achète à un concurrent ou décide de ne pas acheter du tout. »
Par pays, le taux de préparation au RGPD variait de 42 % à 75 %. L’Espagne, l’Italie, le Royaume-Uni, avec 70 % et plus, ainsi que la France (62 %) se situent en tête de liste, tandis que la Chine, le Japon et l’Australie se situent dans le bas du classement, avec des taux inférieurs à 50 %.