Le 4 juin dernier, lors du salon Graphitec qui se tenait à Paris Porte de Versailles, Corinne Estève Diemunsch nous a invité à nous intéresser à l’impact du RGPD sur les acteurs des métiers de la gestion documentaire et de l’industrie des arts graphiques.
La créatrice de DOCaufutur.fr, Présidente de l’agence TiKibuzz, à la Direction de la Communication, des RH et RSE de Limonetik, Corinne introduit la conférence en rappelant la place prépondérante du RGPD dans la presse depuis 2018. Des articles pour se préparer à la mise en place obligatoire aux pléthores d’avis d’experts; entre effets d’annonce et arnaques, quels sont les risques réels pour l’entreprise ? Qu’est-ce que le RGPD a vraiment changé dans le quotidien ?
Pour mieux appréhender le vrai du faux, trois experts témoignent, un an après l’entrée en vigueur du RGPD.
Retour sur un règlement qui fait couler de l’encre et use les micros des salles de conférence
Chantal Richardeau, responsable HSE à l’UNIIC rappelle que le RGPD est un règlement européen qui s’applique à la fois aux personnes physiques et aux données personnelles des personnes physiques. Ce règlement s’applique à l’ensemble des entités européennes : secteur public comme secteur privé.
« Certes, à certains égards, la loi de 1978 Informatique et Libertés protégeait déjà les personnes physiques. Mais cette loi demandait aux entreprises de déclarer leurs actions. A la différence, avec le RGPD on bascule dans un contrôle a posteriori. C’est aux entreprises de mettre en place un management qui va permettre au pouvoir public de vérifier si elles sont en conformité. » résume Chantal Richardeau.
« Certes, à certains égards, la loi de 1978 Informatique et Libertés protégeait déjà les personnes physiques. Mais cette loi demandait aux entreprises de déclarer leurs actions. A la différence, avec le RGPD on bascule dans un contrôle a posteriori. C’est aux entreprises de mettre en place un management qui va permettre au pouvoir public de vérifier si elles sont en conformité. » résume Chantal Richardeau.Comme l’ajoute Nans Lorenzini, responsable juridique pour la FinTech Limonetik, la différence notable entre la loi de 78 et le RGPD réside dans la prise de responsabilité des acteurs. « Le contrôle a posteriori impose une remise en question pour toutes les entreprises : il faut devancer une règle qui n’a pas encore de précisions données par le législateur ».
C’est d’ailleurs ce qui explique la naissance du business des ‘experts du RGPD’. Et … le problème des faux ! Rappelons ici que vous ne pourrez jamais recevoir un courrier de la part de l’Europe : il n’y a pas d’ingérence possible. Pour Marlène Cailleau, Information Governance Manager et DPO pour Iron Mountain France, le bon réflexe est de communiquer en interne. De plus, il ne faut pas oublier que la CNIL est le seul organisme de contrôle pour la France.
80% des entreprises annoncent n’être toujours pas prêtes ni même préparées
Face à ce pourcentage, Corinne a posé la question suivante à nos experts : comment s’y prendre pour rentrer dans ce règlement de la manière la plus simple possible ? Comment faire de l’emailing si je n’ai plus de données clients ?
Pour Chantal Richardeau, de facto les premières données personnelles dont dispose une entreprise sont celles de ses employés. Ainsi la mise en place du RGPD devrait commencer par le traitement et la mise au norme de ces données quelle que soit la taille de l’entreprise.
« Très souvent, les PME externalisent leur service paye. Leur attention doit donc se porter sur leurs sous-traitants. Or l’expert-comptable fait partie de ces sous-traitants « stratégiques » puisqu’il a la même connaissance que l’employeur. Il faut donc inviter ses salariés à pouvoir réformer leurs données personnelles, à leurs redonner une emprise sur leurs données ».
Tous nos experts s’accordent pour dire qu’il faut s’appliquer à recenser tous les fichiers présents dans l’entreprise. C’est d’ailleurs l’un des premiers conseils donné dans le Cahier de recettes spécial RGPD réalisé par Iron Mountain; un vrai régal pour les papilles, les yeux et le cerveau! Cette première étape permet de savoir vis-à-vis de qui se mettre en conformité.
« Il existe désormais une obligation sine qua non à informer l’individu que l’on récolte ses données; c’est simple mais il faut y penser et le faire! »
Tous conviennent de la difficulté à se retrouver dans ce règlement européen. D’où le besoin de nommer un DPO ou d’engager un consultant externe pour être accompagné.
Quel est ce nouveau métier : le DPO, né avec le RGPD ?
« Le DPO est une espèce apparue il y a environ deux ans pour les plus anciens », témoigne Marlène Cailleau. « Le Délégué à la Protection des Données (DPO) est un profil qui peut avoir plusieurs expériences : juriste, IT, responsable qualité… ».
Marlène Cailleau explique que son rôle est d’être le chef d’orchestre de la protection des données. Pour sa part, elle se repose à la fois sur le responsable DSI, mais aussi sur le marketing, la qualité et le juridique. « Personne ne peut avoir toutes ces casquettes ! ».
En tant que DPO pour la France, Marlène Cailleau insiste sur l’importance de former en interne ses équipes. « Le RGPD est un droit pour tous les citoyens européens. Il faut informer les collaborateurs de leur droit à l’oubli. ». Par ailleurs, il faut « prendre le RGPD comme un oignon« , faire de la pédagogie, commencer par des choses simples. La mise en conformité d’une entreprise au RGPD doit correspondre à un plan d’action pluriannuel.
« Est-ce qu’on risque vraiment quelque chose si on n’y va pas ? »
En effet, la question est légitime : le RGPD représente des dépenses importantes. Un chef d’entreprise peut-il choisir de ne pas se mettre en conformité parce que c’est trop coûteux ?
Pour Chantal Richardeau la réponse est clair : nul n’est censé ignorer la loi! Si pour l’instant la CNIL était bienveillante pendant la première année de mise en application, cela pourrait vite être amener à changer. Et les sanctions seront lourdes en conséquence.
La CNIL ne se refuse pas le droit de visiter les sites internet des entreprises pour prendre la température. Or dès lors que les contrôleurs de la CNIL rentreront dans les entreprises pour un contrôle, ils auront les mêmes pouvoirs que des inspecteurs. A partir de là, si l’entreprise n’a pas mis en place la réglementation, elle risque fort la mise en demeure.
Nans Lorenzini rappelle d’ailleurs la déclaration récente de la Présidente de la CNIL : « la période de bienveillance est terminée ». Ce qui veut dire que les contrôles vont commencer à s’intensifier.
Le RGPD : une opportunité pour les acteurs du business
C’est une évidence : être condamné pour non-respect du RGPD sera discriminant sur les marchés. La communication autour du RGPD va devenir un enjeu sérieux pour les entreprises. C’est d’ailleurs dans ce contexte que Nans Lorenzini note la multiplication du terme « RGPD compliance » dans les communications des entreprises. Pourtant, il n’y a pas encore de certification existante.
Pour Marlène Cailleau, ce qui est important et ce que le RGPD permet est d’apporter beaucoup de bon sens.
« Malheureusement on avait pris l’habitude de surconsommer. De faire beaucoup de choses en un clic et sans aucun contrôle. Le RGPD amène de la rationalisation : l’entreprise n’est pas propriétaire de la donnée. Elle en est seulement le gardien. Nous devons tous revenir à une « agriculture » raisonnée et raisonnable. »
Les entreprises numériques ont un gros travail à faire pour montrer leur effort de protection des données. D’une certaine manière, le RGPD permet d’avancer vers plus de rationnel et un développement responsable.
Les conseils avisés de nos experts RGPD
- Si je ne sais pas par où commencer : prendre un expert pour faire un mini audit de mon entreprise
- Informer et former en interne les collaborateurs à la manipulation de données personnelles
- Mettre en conformité mon site internet
- Considérer la CNIL comme ma meilleure amie : se servir de tous ses outils pédagogiques pour comprendre le RGPD
- Si l’entreprise fait +200 salariés : nommer un DPO
