Impact Du RGPD Sur Les Entreprises
Le RGPD , règlement général de protection des données, a été officiellement lancé le 25 mai 2018. Lourde et contraignante, cette directive doit encore être peaufinée afin de pouvoir être complètement opérationnelle. Cependant, l’impact du RGPD est palpable tant pour les personnes physiques que pour les entités économiques.
Impact du RGPD : de la difficulté de la mise en conformité au règlement
En fait, les entreprises soucieuses de se plier au RGPD sous peine de lourdes sanctions financières se sont attelées à la tâche d’appliquer les procédures requises. Toutefois, un an plus tard, la mise en conformité au règlement s’avère être une tâche herculéenne.
Bref rappel du RGPD
Le RGPD doit conduire l’organisation à :
– Nommer un responsable en interne ou en externe : le Data Privacy Officer (DPO)
– Inventorier les données des personnes physiques
-Procéder à une cartographie des données : il s’agit de tenir un registre des traitements des données personnelles, à mettre à jour régulièrement
-Gérer les risques tels que les fuites de données, le non-respect de la protection des données. Le RGPD parle alors d’analyse d’impact (Privacy Impact Assessment [PIA])
-Mettre en oeuvre un plan d’action interne qui se traduit par une politique de confidentialité des données conforme au RGPD (y compris le fameux « privacy by design »)
-Constituer une documentation sur la conformité au RGPD (des traitements des données, procédures internes, contrats, etc.)
Une implémentation difficile
En fait, la réglementation reste difficile à appliquer. En outre, la charge de travail est substantielle. Concrètement, se conformer au RGPD implique une forte mobilisation en main d’œuvre et en moyens financiers.
Exemple : RGPD et entreprises américaines
Voici un exemple qui éclaire un peu mieux de l’état d’esprit des organisations.
D’après une étude de la start-up DataGrail parue en mai 2019, 53% des entreprises américaines du panel ont consacré au moins six mois pour parvenir à la conformité au RGPD. Mais cela reste largement insuffisant, même après la mise en place de cette directive.
En fait, le coût de la conformité est un coût additionnel pour l’entreprise en termes de mobilisation de personnel et de moyens financiers, en plus de dépenses stricto sensu consacrées au RGPD.
A titre d’illustration, l’étude souligne que :
- Neuf entreprises sur dix vont embaucher dans les deux prochaines années au moins trois personnes supplémentaires pour être à jour avec cette réglementation concernant la confidentialité des données.
- Les entreprises du panel ont du faire face au caractère ardu des tâches à accomplir entre plusieurs systèmes et services de l’entreprise.
En fait, l’organisation s’appuie avant tout sur l’inventaire des données pour se conformer au RGPD. Et donc, cela implique des mises à jour régulières.
Pour en savoir plus, lire l’étude DG : The Age of Privacy : The Cost of Continuous Compliance
Conclusion : Challenges liées à la mise en place du RGPD
L’exemple ci-dessus témoigne du flou artistique dans lequel se trouvent beaucoup d’organisations. Ainsi, il apparaît que le RGPD est complexe, non balisé par des procédures bien définies et donc, difficile à mettre en œuvre.
Impact du RGPD : Mise sous tension des services de l’entreprise autour du DPO
De plus, le RGPD a également des implications au sein de l’entreprise.
Ce règlement conduit à mettre en place une politique de communication auprès des collaborateurs de l’entreprise. Tous les services et départements sont concernés.
Le tout, bien sûr, est d’éviter de payer des sanctions pécuniaires. Pour mémoire, les amendes peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise.
Impact du RGPD sur les départements de l’entreprise
Sous-traitants
- Respecter les clauses contractuelles avec l’entreprise principale (charte, instructions, etc.)
- Assurer son rôle de respect des données conjointement avec le responsable du traitement (cf. article 32 du RGPD) notamment en matière de sécurité.
Direction marketing
- Définir la collecte des données clients dans les opérations de mailing
- Informer les destinataires en toute transparence
Direction des ressources humaines
- Gérer les données personnelles des employés en toute confidentialité (paie, frais professionnels, mais aussi accès aux outils informatiques)
- Respecter les obligations juridiques (exemple : durée de conservation des données des salariés de 5 ans à partir de la date de fin du contrat de travail)
- Respecter des concepts clés du RGPD comme le droit à l’oubli.
Direction financière
- Gérer les données personnelles dans les pièces administratives (clients, fournisseurs, etc.)
- Tracer la circulation de ces données (ex : notes de frais, gestion de trésorerie, logiciels)
- Respecter les obligations légales, comptables et fiscales (ex : durée de conservation des données)
Impact du RGPD sur la cohésion du travail en équipe
Pour effectuer la mise en conformité au RGPD, il est nécessaire d’établir un travail de communication entre les différents services de l’entreprise et le DPO. La sensibilisation des collaborateurs à la protection des données est essentielle.
C’est là où le rôle du DPO est attendu :
- Rôle de conseil dans le traitement des données
- Rôle de vérification du respect des procédures
- Gestion éventuelle du registre des activités de traitement
Alors, une fois que l’entreprise dans son ensemble tend vers le respect du RGPD, il est ainsi envisageable de se focaliser sur sa bonne exécution en temps réel.
Impact du RGPD : Influence sur la politique générale de l’entreprise
Aussi, les mesures techniques et les procédures organisationnelles doivent être en conformité avec le RGPD.
Comment tirer profit de cette contrainte réglementaire ? Comment en faire une opportunité porteuse de création de valeur ?
Telles sont les questions que toute organisation est en droit de se poser eu égard au coût engendré par la mise en conformité au RGPD.
RGPD = capital confiance
En effet, le respect du RGPD, c’est avant tout un contrat de confiance vis-à-vis des clients, des fournisseurs, des salariés et autres interlocuteurs de son entreprise. Le DPO avec le concept de privacy by design permet ainsi de booster la confidentialité et la sécurité des données personnelles.
RGPD = lutte contre les cyberattaques
Ainsi, par ricochet, le fait de protéger les données personnelles de personnes physiques conduit à une diminution des risques informatiques y compris le risque de cybersécurité. De ce fait, ce règlement permet de canaliser les fuites de données en responsabilisant les organisations. Il y a ainsi une prise de conscience de l’environnement de travail des entreprises tant sur le plan organisationnel que technique.
RGPD = avantage concurrentiel
Le respect de cette réglementation inspire une image positive de sérieux auprès des clients. Elle permet alors de faire des campagnes marketing ciblées, porteuses d’un taux de transformation plus élevée. De plus, de portée internationale, elle peut s’avérer être une source d’avantage concurrentiel car les données résident au cœur de la stratégie des entreprises.
Conclusion
En dépit de la lourdeur et du caractère contraignant de cette réglementation, les entreprises peuvent suivre la locution suivante : faire contre mauvaise fortune bon cœur.
Oui, en effet, le coût de la mise en conformité au RGPD est substantielle en termes financiers et humains. Cependant, l’entreprise peut y trouver des sources d’avantages non négligeables.
Alors, cette réglementation destinée à être peaufinée pour plus de clarté et de lisibilité pourrait faire l’objet d’une certification. En effet, l’ultime intérêt serait alors de parvenir à une forme d’autonomisation efficiente systématique des procédures.
A suivre …
Je m'abonne !