Non le RGPD n’est pas une opportunité, c’est juste un casse-tête

Le RGPD, toutes les entreprises devront y passer. Ce règlement européen vise à protéger les données personnelles des consommateurs. L’objectif est louable. Face notamment aux Gafa (Google Apple Facebook Amazon), l’Europe a souhaité mettre en place des dispositifs visant à mieux informer les citoyens sur les traitements appliqués à leurs informations privées. Jusqu’à maintenant, dans ce domaine, régnait l’obscurité la plus totale. Et sans aller penser comme le poète Nicolas Boileau-Despréaux que « le vice, toujours sombre, aime l’obscurité », un minimum de transparence est bienvenu. De là à dire que le RGPD constitue une opportunité pour les entreprises, il y a un pas que n’hésitent pas à franchir les éditeurs et prestataires informatiques, notamment ceux régnant dans le domaine de la sécurité informatique. Or non : les entreprises doivent s’attendre à un coûteux et fastidieux travail pour se mettre en conformité, avec à la clé zéro avantage pour leur business.

Une obligation est dans un premier temps est de dénicher toutes les données personnelles dont l’entreprise dispose et ce qu’elle en fait. A cette fin, elle devra le plus souvent effectuer un audit. Or n’importe quel chef d’entreprise vous le dira, un auditeur est rarement accueilli les bras ouverts par les collaborateurs de l’entreprise. Dans ce cas précis, ce sont des spécialistes de la protection des données, externes à l’entreprise, qui viendront demander des explications sur les processus de l’entreprise. L’entreprise devra par exemple ne serait-ce qu’indiquer où se trouvent ces données. Cela peut sembler trivial, mais il est parfois difficile de connaître exactement quelles informations sont sur le cloud, chez l’entreprise et/ou chez un prestataire. L’auditeur devra ainsi enquêter au département marketing par exemple, et interroger ceux qui se coltinent la réalité du terrain. Pas sûr que le courant passe…

Un autre avantage de cet audit serait de faire le tri entre les données qui doivent être conservées (et pour quelle raison : l’entreprise devra s’en expliquer) et celles qui peuvent être archivées, scellées ou tout simplement jetées. Il s’ensuivrait une économie sur le stockage de ces données. Or vu la chute continuelle du prix du stockage, les économies résultantes ne devraient pas peser bien lourd. Est-ce si important si une facture antédiluvienne traîne encore quelque part sur un disque dur?

Pour tout traitement appliqué à une donnée personnelle, l’entreprise devra effectuer une analyse d’impact. Celle-ci sera effectuée par un responsable de ces traitements, une personne nommée par l’entreprise qui devra tenir un registre de tous les traitements effectués. Plus question par exemple de se prêter des fichiers de données personnelles entre services : si le SAV peut avoir besoin de l’adresse postale physique d’un client, celle-ci n’est pas nécessaire pour lui envoyer une newsletter. Cette analyse d’impact n’est pas nouvelle en soi : c’était un peu le travail des instances publiques européennes, comme la Cnil en France, qui s’en chargeait. La différence est que c’est maintenant à l’entreprise d’effectuer cette analyse d’impact. Du temps donc à y consacrer.

En se rendant conforme  RGPD, l’entreprise pourrait bénéficier selon certains d’un avantage commercial. En gros : regardez comme je prends bien soin de vos données personnelles par rapport à mon concurrent qui ne s’en préoccupe pas. Une sorte de capital confiance s’établirait ainsi entre l’entreprise et ses clients. C’est un peu vite oublier que toutes les entreprises devront être conformes au même règlement!

Face à cette réglementation, les DAF interrogés lors d’une table ronde en octobre par l’éditeur Unit4 ne s’y trompaient pas : « C’est la peur de l’amende qui va nous stimuler plutôt que l’intérêt pour le client. C’est encore un système punitif, et pendant ce temps, on ne développe pas le business »,  constatait l’un d’entre eux. Un autre relevait certaines contradictions : « on nous impose d’effacer les données des personnes qui sont sorties de l’entreprise, mais on est forcé de garder les bulletins de paie à vie! » Et de conclure : « nous allons en faire le moins possible et juste montrer notre bonne foi pour ne pas nous faire taper dessus ».

Alors oui le RGPD est nécessaire, oui il protégera mieux les données personnelles de chacun, et oui toutes les entreprises devront s’y conformer, c’est la loi. Mais inutile de leur mentir en leur vantant un soi-disant avantage business.

Leave a Reply

Your email address will not be published. Required fields are marked *