Interview de Charles-Olivier Diebold, Président de MyCompanyFiles, au sujet du RGPD et de son impact.

1/ COMMENT POURRIEZ-VOUS EXPLIQUER SIMPLEMENT LE RGPD ET SON IMPACT REEL DANS UNE ENTREPRISE ?

Le RGPD est un texte de loi européen uniformisant les règles d’utilisation des données dans une économie de plus en plus numérique et dématérialisée.

Comme le code de la route ou la conformité des établissements financiers, l’utilisation des données de chaque individu doit répondre à un code de bonne conduite qui doit prendre en compte les technologies du moment.

Ce texte a deux objectifs principaux : responsabiliser les organisations (entreprises, associations et administrations) par rapport aux traitements qu’elles réalisent et protéger les droits des citoyens européens.

Ces deux éléments sont indispensables au renforcement de confiance, qui est le carburant de l’économie numérique.

Le RGPD est avant tout un outil de mise en place d’une gouvernance pérenne des traitements des données.

Cette gouvernance est nécessaire pour faire face aux risques liés à la croissance exponentielle des données et de leur utilisation.

Les principaux impacts du RGPD sont la formalisation des processus (information, documentations), techniques (protections des données et des flux), organisationnelles (transparence, sensibilisation) et juridiques (clauses explicites par rapport à la gestion des données personnelles dans les contrats clients et prestataires).

 

2/ EST-CE QUE TOUTES ENTREPRISES ET TOUS LES EMPLOYES SONT CONCERNES PAR LE RGPD ?

 

Le RGPD s’applique à toute organisation qui traite des données à caractère personnel d’individus résidents dans l’Union Européenne. Il ne s’applique pas qu’aux organisations européennes : les réseaux sociaux, les prestataires internationaux ou les géants du web y sont soumis.:

Comme toute gouvernance, l’application du RGPD doit être réalisée en fonction de l’analyse des risques liés aux traitements et aux acteurs qui les réalisent ainsi qu’au niveau de sensibilité et au volumes des données manipulées.

Si un certain nombre de dispositions sont obligatoires, leur application doit être adaptée à l’organisation et aux risques identifiés.

La gouvernance des données concerne tous les acteurs des traitements réalisés : non seulement les employés (le RGPD impose qu’ils soient sensibilisés à la la protection et à la sécurité des données) mais aussi les sous-traitants et prestataires (SaaS, Cloud, hébergeurs,etc..) qui interviennent dans la chaîne de traitement des données.

Le RGPD impose aux organisations de prouver en permanence, à compter du 25 Mai 2018, qu’elles appliquent les dispositions du RGPD.

Son application doit être accompagnée au sein d’un processus de conduite du changement, notamment pour se débarrasser des mauvaises habitudes (copie d’un fichier sur une clé USB, envoi du fichier en clair en PJ d’un mail, etc…).

 

3/ EST-CE QUE LE RGPD POURRAIT CREER DE NOUVEAUX METIERS DANS LES ENTREPRISES COMME ON L’A VU AVEC LES COMMUNITY MANAGER ET LES RESEAUX SOCIAUX ?

 

Le premier métier créé par le RGPD est le DPO (Data Protection Officer, ou DPD, Délégué à la Protection des Données) puisque ses missions sont définies dans le texte du Règlement et sa présence imposée dans un certain nombre d’entreprises.

Pour remplir ses missions, le DPO doit avoir de très bonnes connaissances dans les domaines suivants :

– la règlementation RGPD et son application (profil juridique)

– les processus et les outils de cybersécurité (profil technique)

– les processus métiers (profil métier)

La fonction DPO peut être réalisée par individu mais aussi par une équipe ou un prestataire externe.

Le RGPD imposant qu’un certains nombre d »éléments soient explicites dans les contrats clients et les contrats prestataires, les entreprises vont avoir besoin de plus en plus de juristes spécialisés dans le droit du numérique.

 

4/ EST-CE QUE LE RGDP EST UN SUJET INDIVIDUEL PORTE PAR UN CHEF DE PROJET DESIGNE OU UN ENJEU D’ENTREPRISE QUI DOIT ETRE COLLECTIF ?

L’application du RGPD est un périmètre de gouvernance, donc un enjeu d’entreprise.

En dehors de lourdes amendes potentielles en cas de non-conformité, le risque principal, pour l’organisation, en cas de compromission ou de fuite de données, est le risque d’image avec perte de confiance des clients, donc perte de chiffres d’affaires.

Les dirigeants d’entreprise y sont donc les premiers acteurs, le pilotage opérationnel de la mise en conformité et de son maintien étant délégués au DPO.

L’application des bonnes pratiques imposées par le RGPD est quotidienne et de la responsabilité de chacun : le RGPD impose d’ailleurs à toute organisation de prouver que ses collaborateurs ont bien été sensibilisés au respect de ces bonnes pratiques et aux principales dispositions du règlement.

 

L’entrée en vigueur imminente de cette nouvelle norme européenne peut susciter certaines inquiétudes de par son caractère révolutionnaire et rigoureux. Les démarches comptables quotidiennes même les plus simples (comme un envoi de fiches de paies, par exemple) seront désormais sous le radar RGPD. Il est donc indispensable pour l’entreprise -quelle que soit sa taille- de se préparer avec sérieux à cette problématique de sécurité informatique. Plusieurs entrepreneurs consciencieux se tournent alors  vers des spécialistes en la matière ou ont tout simplement recours à des nouveaux outils adaptés et agréés tels que la solution MyCompanyFiles. Cela permet d’adopter les nouvelles habitudes en règle avec le texte de loi, tout en gardant la sérénité de son activité.