Le scandale Cambridge Analytica a mis en lumière une nouvelle fois le manque de protection autour de nos données personnelles. Cet exemple récent visant Facebook a ainsi rappelé à chacun que les données des utilisateurs, stockées aux Etats-Unis, appartiennent directement au réseau social. Y compris les photographies postées par les utilisateurs. Les données personnelles sont en effet régulées de manière très disparate par des lois qui ne tiennent pas toujours compte des sensibilités de chaque pays. Une situation qui, du point de vue européen, ne manque pas d’interpeller !
Redonner du sens à la CNIL
La Commission européenne s’est ainsi emparée de la question et a choisi de légiférer. L’entrée en vigueur très prochaine du RGPD répond donc à une véritable nécessité et a de quoi nous réjouir. La logique de cette loi est d’ailleurs très saine : elle instaure le fait que les données personnelles appartiennent à leur propriétaire et seront seulement prêtées aux entreprises qui en seront donc les garantes. Concrètement, le RGPD présente trois facettes : l’information des utilisateurs, la sécurisation des données et la responsabilisation des entreprises.
La première d’entre elles permettra notamment, sur chaque site, d’expliquer aux utilisateurs ce qu’est une donnée personnelle et comment elle sera collectée et utilisée. L’entreprise devra être en mesure de prouver que la personne qui lui a « confié » sa donnée personnelle était consentante. Cette réglementation va aussi redonner tout son sens à la CNIL, qui depuis plusieurs années avait perdu son pouvoir initial pour devenir un organe de répression peu crédible. Réinvestie de sa mission, la CNIL devrait être en mesure de faire appliquer cette loi de manière efficace.
La première d’entre elles permettra notamment, sur chaque site, d’expliquer aux utilisateurs ce qu’est une donnée personnelle et comment elle sera collectée et utilisée. L’entreprise devra être en mesure de prouver que la personne qui lui a « confié » sa donnée personnelle était consentante. Cette réglementation va aussi redonner tout son sens à la CNIL, qui depuis plusieurs années avait perdu son pouvoir initial pour devenir un organe de répression peu crédible. Réinvestie de sa mission, la CNIL devrait être en mesure de faire appliquer cette loi de manière efficace.
Avancer pas à pas
Toutefois, la mise en place de cette réglementation constitue un défi pour certaines entreprises. 67% d’entre elles estiment qu’elles ne seront pas prêtes le 25 mai, date à laquelle le règlement entrera en vigueur et où toutes les entreprises européennes, ou traitant avec l’Europe, devront être conformes aux prescriptions du règlement. Un certain nombre d’entre elles ne sont même pas au courant de cette nouvelle réglementation. Les entreprises de petite taille sont les plus concernées par ces difficultés de mise en place. Pour répondre à cet enjeu, la CNIL et Bpifrance ont publié un guide pratique pour les aider à se conformer avec le nouveau règlement. Ce guide pédagogique de 32 pages vise à rassurer et aider les entreprises dans leurs démarches. Sur son site, la CNIL met également des modèles d’inventaires à disposition des entreprises et un modèle de questionnaire pour l’inventaire des traitements de données personnelles.
Bien que l’entrée en vigueur du RGPD arrive à grands pas, le meilleur conseil à suivre reste de ne pas se précipiter ! Il est en effet primordial de bien comprendre comment cette nouvelle norme va s’intégrer dans le quotidien des entreprises. La première responsabilité des dirigeants est donc de donner du temps à leurs équipes de s’approprier le sujet. Avec le RGPD tout le monde est concerné : il s’agit de prendre conscience collectivement de ce changement de logique.
Bien que l’entrée en vigueur du RGPD arrive à grands pas, le meilleur conseil à suivre reste de ne pas se précipiter ! Il est en effet primordial de bien comprendre comment cette nouvelle norme va s’intégrer dans le quotidien des entreprises. La première responsabilité des dirigeants est donc de donner du temps à leurs équipes de s’approprier le sujet. Avec le RGPD tout le monde est concerné : il s’agit de prendre conscience collectivement de ce changement de logique.
Nommer un data privacy officier
La mise en place de cette nouvelle réglementation se fera donc avec méthode, étape par étape. La première d’entre elles sera notamment de faire l’inventaire des données personnelles collectées et de nommer un « DPO » (Data Privacy officer) qui sera en charge de mettre en œuvre la sécurisation et la protection des données. Si déjà cet inventaire est fait, les PME pourront prouver leur bonne foi. Pas de panique : il est plus que probable que la CNIL saura faire preuve de tolérance dans un premier temps envers les entreprises, notamment les plus petites, qui auront commencé à relever le défi.
A propos de l'auteur : Guillaume Lucien est CTO de ClubFunding.
A propos de l'auteur : Guillaume Lucien est CTO de ClubFunding.