M-8 : Comment démarrer sa mise en conformité au RGPD ?

Les communications et les sessions d’information se multiplient. Les juristes, les spécialistes de la cyber-sécurité expliquent ce qu’implique aujourd’hui le traitement des données en responsabilités et en obligations. Le RGPD, cela coûte et c’est complexe. Et si vous ne faites rien, c’est la cyber-guerre économique ! Et pourtant, ce n’est pas le moment de se laisser abattre. Pour les grandes entreprises qui utilisent les données personnelles de multiples façons, dans une organisation constituée de plusieurs business units et de plusieurs établissements, évidemment, la mise en conformité demande un effort certain. Pour les autres entreprises, y comprises les entreprises sous-traitantes, le RGPD s’applique pareillement. Mais leur préparation reste proportionnelle à leur complexité d’organisation et à la dépendance de leur activité commerciale vis-à-vis des données personnelles.

Le RGPD est alors l’occasion d’une relecture de sa stratégie Data, de son modèle économique et des relations avec ses clients et ses employés. La Data devenant un enjeu pour l’ensemble du monde économique aujourd’hui, c’est le bon timing pour s’y engager. La stratégie Data se prépare à plusieurs : la direction d’entreprise et les équipes métiers qui traitent la Data, avec en support, le responsable de la sécurité du système informatique et l’expert juridique.

Le point de départ du RGPD est très clair : « Pourquoi traitez-vous des données personnelles ? ». Ici, l’objectif est de détailler toutes les finalités qui ont justifié ou justifieront l’effort d’acquisition et de traitement des données. Cette question peut se généraliser au-delà des données personnelles. Mais, autant la philosophie du big data enjoint de tout garder au cas où un nouvel algorithme nous permettrait de découvrir de nouveaux cas d’usage dans 5 ans (l’archéologie de la Data), autant le RGPD pousse à ne conserver que le minimum de données personnelles et à encadrer strictement cette conservation (le droit à l’oubli).

Le premier exercice consistera donc à faire l’inventaire de ses données, à détailler les finalités associées et le cycle de vie de chaque donnée. Cela permet d’ébaucher un premier plan d’actions pour la mise en conformité. Exemple : Une donnée personnelle est conservée plusieurs mois pour des raisons de maintenance : action n°1 : mettre à jour les conditions d’utilisation du service pour expliciter cette finalité, la durée de conversation et les conséquences d’une suppression anticipée de la donnée sur demande de l’usager; action n°2 : automatiser la notification de suppression au service de maintenance avant la supression définitive; action n°3 : calculer le gain en GB/KEuros des données actuellement inutiles et à supprimer.

Cette phase est un réel moyen de réfléchir à plusieurs au fonctionnement de l’entreprise autour de la donnée. On peut se faire accompagner par des spécialistes de la donnée dont la motivation est la valorisation des données. La donnée personnelle est déjà valorisée par les acteurs du marketing, de la publicité en ligne comme Google, Facebook, etc. au point que des sociétés achètent aux particuliers leurs données personnelles pour les revendre à la « tonne » aux entreprises du B2C.

Le RGPD donne ainsi l’occasion aux entreprises Européennes d’intégrer la Data dans leur stratégie. L’approche pour les données non-personnelles est similaire: Le challenge pour l’entreprise reste de trouver la bonne finalité, celle qui intéresse ses clients ou ses futurs clients et d’arriver à convaincre toutes les parties prenantes que son produit est bon pour eux.

 

Pour aller plus loin : Doptim propose une offre forfaitaire pour démarrer son registre de traitement. Contactez-nous