RGPD et mise en conformité : un travail de longue haleine

Si les entreprises ont dû fournir de gros efforts pour entrer en conformité avec le RGPD (règlement général sur la protection des données), en vigueur depuis le 25 mai 2018, leur travail ne s’arrête pas là. Pour Pascal Alix, avocat à la cour, fondateur du cabinet Virtualegis, dédié aux nouvelles technologies, la conformité est un “processus dynamique, un projet qui prend un certain temps, et qui suppose des efforts constants”.

“Il n’existe pas de tampon de conformité avec le RGPD. Il s’agit d’un process, pas de l’obtention d’un certificat”, a-t-il expliqué lors des premiers Afterworks de la gouvernance de l’information organisés en juin par Everteam à Paris.

En tant que DPO (data protection officer) externe, Pascal Alix a en effet pour mission d’accompagner les entreprises dans leur mise en conformité avec le RGPD. Une “tâche très complexe, à effectuer dans un temps limité et avec un budget réduit”, précise-t-il.

Se préparer au RGPD …

Il est vrai que, dans un premier temps, l’ensemble des entreprises ont dû mettre les bouchées doubles pour se préparer au RGPD, en appliquant les six étapes définies par la Cnil :

  • La désignation d’un pilote
  • La cartographie des traitements des données personnelles
  • La définition de priorités concernant les actions à mener
  • La gestion des risques
  • L’organisation des processus internes
  • La documentation de la conformité

Si la désignation du pilote s’effectue au début du processus, l’ensemble des autres étapes s’effectuent sur le long terme, parfois en parallèle.

… Et rester conforme au règlement !

Par exemple, si vous avez effectivement cartographié vos données, il faudra que les nouvelles données entrant dans votre système d’information soient identifiées comme données personnelles ou non. A terme, ces actions peuvent être effectuées par des technologies d’intelligence artificielle ou de machine learning. Elles doivent cependant être initiées par un humain.

Enfin, pour être sans cesse en conformité avec le RGPD, il est nécessaire de sensibiliser les équipes en interne. La mise en application du RGPD n’est pas qu’une question de technologie ou de changement de système d’information. Il est important que chaque collaborateur de l’entreprise ait conscience des enjeux qui découlent du traitement des données personnelles. Chaque mail, chaque document, chaque fichier peut contenir une donnée personnelle. Il faut donc que chacun ait à l’esprit que chaque action peut avoir une conséquence. Ce changement de mentalité ne peut s’effectuer que sur le long terme.

Ne manquez pas les prochains articles du blog d’Everteam dans lesquels nous reviendrons en détail sur les sujets traités lors de ce premier afterwork de la gouvernance de l’information…