La réglementation GDPR s’appliquera dans toute l’UE sans qu’il soit nécessaire que ses pays le transcrivent dans leur droit national ; autrement dit, immédiatement. A vrai dire, ce nouveau règlement a déclenché le branle-bas dans les directions générales comme dans les directions informatiques des entreprises.

Pour celles qui ne s’y conformeront pas, rappelons que le montant des amendes sera progressif mais pourra atteindre 4% du chiffre d’affaires mondial des entreprises qui seraient concernées. Et pour celles qui ne sauraient par où commencer, la CNIL vient de publier un guide pour les aider à se mettre en conformité, véritable vademecum pour chef d’entreprise en plein désarroi face à GDPR.

De façon classique et pleine de bon sens, celui-ci recommande de désigner une personne qui pilotera « la gouvernance des données personnelles » de l’organisation, sorte de délégué à la protection des données qui exercera une mission d’information, de conseil et de contrôle en interne. Il préconise même qu’une personne au sein de l’organisation, la même ou une autre, soit son « correspondant informatique et libertés ». Il faut ensuite recenser de façon précise les données personnelles que l’entreprise collecte et la façon dont elle les traite, en se demandant quels sont les risques que ces processus de traitement font peser sur les droits et les libertés des personnes concernées. Ce qui permettra d’établir des priorités sur les actions à mener. Pour assurer un haut niveau de protection des données personnelles dit la CNIL, l’entreprise devra mettre en place des procédures internes prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie des données (failles de sécurité possibles, gestion des demandes de rectification ou d’accès, modification par l’entreprise des données collectées, voire même un changement de prestataire dans le stockage de ces données). Enfin, l’entreprise devra constituer la documentation nécessaire prouvant sa conformité à GDPR. Inutile de préciser que les actions et documents produits à chaque étape devront être régulièrement actualisés.

La vie des données pose trois questions primordiales qui sous-tendent finalement la mise en œuvre de ce règlement. Sont-elles protégées dans la durée ? Qui risque d’y avoir accès ? Qui pourra être concerné par leur collecte ? Le fait que les données soient chiffrées ne veut pas dire qu’elles soient totalement protégées. En outre, GDPR stipule que l’entreprise devra désormais supprimer les données lorsqu’elles cesseront d’être utilisées dans le but initial pour lequel elles ont été collectées. Et lorsqu’une personne ne souhaitera plus que ses données personnelles soient collectées, l’entreprise devra automatiquement non seulement cesser de le faire, mais aussi les supprimer intégralement. Difficulté supplémentaire, qui concerne de prime abord toutes les entreprises qui traitent avec des adolescents, GDPR stipule que les données de personnes âgées de moins de 16 ans ne pourront plus être collectées, alors que la limite est fixée à 13 ans aujourd’hui... Ce qui fort risque d’obliger les entreprises à supprimer dans l’urgence une grande quantité de données en leur possession...

Or rien n’est plus difficile que d’effacer totalement et complètement des données, c’est là un des enjeux de GDPR. A fortiori lorsque ces données sont stockées dans des serveurs extérieurs comme c’est le cas pour les entreprises qui ont recours à des Cloud services providers – dit autrement, dont les données sont stockées dans le Cloud public. Au-delà de ses propres processus internes, il est donc urgent pour une entreprise de se demander si les solutions de gestion de données de ses fournisseurs sont également conformes à GDPR. Eux-aussi doivent être à jour vis-à-vis de la nouvelle réglementation pour parfaitement accompagner leurs clients et leur offrir des garanties en la matière.

Clairement, GDPR impose de travailler vite, d’analyser un grand nombre de processus complexes de traitement des données personnelles afin de mettre en place tout aussi rapidement des solutions permettant de répondre au nouveau règlement. Mais – et c’est là un aspect un peu laissé de côté mais essentiel, que je voulais souligner – sa mise en œuvre impose aussi de regarder au-delà des murs de l’entreprise : de voir avec quels autres acteurs une organisation est interconnectée en matière d’échange des données.

C’est là la beauté de notre monde connecté. Il nous oblige à penser aux conséquences de notre activité en dehors de notre strict périmètre habituel.