6 questions sur le RGPD à Eva, DPO chez Adentis
Le mois dernier, lors du « mois européen de la Cybersécurité », nous avions pu interviewer Stéphane, co-fondateur d’Adentis et directeur de notre division dédiée à la Cybersécurité (lire l’article ici).
Cette semaine, nous souhaitons traiter un aspect important de la Cybersécurité, celle de la protection des données ! Et plus précisément la protection des données personnelles, c’est-à-dire les données des citoyens, que ce soit dans un cadre personnel mais aussi professionnel, qui sont au cœur de l’actualité, notamment depuis l’entrée en vigueur en mai dernier du RGPD.
Pour l’occasion, nous avons posé 6 questions sur le RGPD à Eva, DPO (Data Protection Officer – Délégué à la protection des données en français) certifié chez Adentis.
Découvrez l’interview d’Eva dans notre article de la semaine.
RGPD, GDPR… Concrètement qu’est-ce que c’est ?
Le RGPD, c’est le Règlement Général sur la Protection des Données du 27 avril 2016 ou « General Data Protection Regulation » (GDPR en anglais).
Ce Règlement Européen impacte près de 500 millions de citoyens européens et est directement applicable depuis le 25 mai 2018.
Il modifie profondément notre façon de gérer la protection des données en imposant notamment aux entreprises d’établir une politique de gouvernance des données.
L’objectif affiché est de redonner à l’individu une plus grande maîtrise sur l’utilisation de ses données et de renforcer la responsabilité des acteurs traitant des données personnelles.
Ok mais ça change quoi pour les entreprises ?
Dans un monde hyper connecté, la protection des données personnelles n’a jamais été aussi centrale. Aujourd’hui les responsabilités et les obligations des responsables de traitement sont largement accrues.
Nous assistons à un changement radical de paradigme :une inversion de la charge de la preuve. Ce sont désormais aux entreprises, petites et grandes, de démontrer qu’elles sont en conformité et non aux autorités de contrôle de prouver leurs manquements.
Les sanctions administratives sont lourdes en cas de manquements et peuvent aller jusque 4% du chiffre d’affaires mondial annuel.
Le RGPD ce n’est que pour les grandes entreprises : vrai ou faux ?
Faux ! Toutes les sociétés et tous les secteurs de toutes les tailles sont concernés, dès lors qu’ils traitent des données à caractère personnel.
À titre d’exemple, le 18 mai 2017 un cabinet dentaire a été condamné par la CNIL à €10 000 pour manquement à la mise en place d’une procédure permettant de répondre aux demandes faites par un patient d’accéder aux données dans son dossier médical.
Tu es DPO, tu peux nous expliquer ce que c’est et en quoi ça consiste ?
Le DPO (Data Protection Officer)est la pierre angulaire du respect des obligations et de la mise en conformité de son organisme.
En tant que DPO chez Adentis, mon rôle est par exemple de conseiller, informer et émettre des recommandations aux responsables de traitement des données.
Pour ce faire un DPO doit être naturellement compétent en droit des données (une expertise juridique est en effet incontournable pour maîtriser la teneur et la consistance des nouvelles obligations réglementaires), en organisation (chef de projet) et en technique (il apparaît indispensable que le DPO développe des compétences techniques pointues ou qu’il puisse s’appuyer sur un réseau d’experts en la matière).
Le RGPD : contrainte ou opportunité ?
On entend souvent : « Privacy is good for business ».
Il est urgent selon moi de voir la mise en conformité RGPD non pas comme une contrainte juridique, mais comme une véritable opportunité en terme de business.
Il faut être créatif et arriver à transformer un investissement nécessaire en opportunité d’une part et capitaliser sur la mise en conformité en la transformant en puissant avantage concurrentiel, à l’image d’initiatives de plusieurs sociétés françaises, d’autre part.
Enfin, nous devons envisager une conformité « dynamique » : la conformité n’est pas un état mais un processus vivant, un « work in progress ».
Ainsi la conformité à 100% n’existe pas. Il faut viser un changement de mentalité et intégrer la protection des données personnelles au cœur même de l’ADN et du fonctionnement de l’entreprise et toujours sensibiliser de façon continue.
Tu peux nous expliquer simplement les étapes d’une mise en conformité au RGPD ?
Dans un premier temps, il convient d’inventorier les traitements, puis de constater les écarts de conformité et enfin de recommander les ajustements nécessaires.
Ensuite, il faut s’atteler à tenir le registre des traitements, pièce maîtresse de la mise en conformité, garantir la conformité des traitements à la fois par rapport à la loi et mais aussi par rapport aux conditions de son organisme.
Il faut également créer et tenir à jour les documents obligatoires, répertoriant les mécanismes et les procédures internes qui tendent à démontrer le respect des règles relatives à la protection des données. Il faut impérativement penser « Privacy By Design » ! C’est-à-dire s’assurer que tout nouveau produit, procédure ou projet dans l’entreprise, soit conforme dès sa conception afin d’offrir et de garantir le plus haut niveau de protection des données possible.
Dans la suite logique, il faut réfléchir « Security by Design » car sécurité et conformité vont de pair en matière de protection des données personnelles. La nouvelle réglementation fait de la sécurité l’élément central de toute démarche de conception d’un traitement de données.
Les analyses de risque par exemple sont recommandées et dès lors qu’un « risque élevé » est identifié, une étude d’impact sur la vie privée s’impose (« Privacy Impact Assessments »).
Enfin, il ne faut pas oublier un aspect important, la sensibilisation et la formation de façon continue de l’ensemble du personnel en charge de traitements de données personnelles.
Merci Eva !
Vous l’aurez compris, le RGPD ne s’applique pas qu’aux grandes entreprises du secteur de la Cybersécurité, mais bel et bien à l’ensemble des entreprises et des secteurs d’activités.
Ce règlement européen, applicable depuis le 25 mai dernier, nécessite un profond changement quant au traitement des données à caractère personnel, et ce à tout niveau de l’entreprise.
Toutefois, si ces changements sont bien souvent considérés comme une énième contrainte juridique, ils représentent pourtant une véritable opportunité à saisir en terme de business, avec des avantages concurrentiels non-négligeables, comme la possibilité de se démarquer de ses concurrents et d’inspirer confiance à ses utilisateurs et à ses clients.
Retrouvez également l’interview vidéo d’Eva
À (re)lire : RGPD : 10 points importants à comprendre pour les entreprises.
Rejoignez-nous
Vos études touchent à leurs fins ou vous êtes à la recherche de nouveaux défis ? Alors rejoignez Adentis dès aujourd’hui en cliquant sur le lien ci-dessous :
>> Je veux rejoindre Adentis <<
Laisser un commentaire
Vous devez être identifié pour poster un commentaire.