« L’entreprise n’est pas propriétaire de ces données, elle n’en est que la simple dépositaire et doit à ce titre en assurer la conservation dans des conditions optimales de transparence, de pertinence, de sécurité et de… légalité »
Avec l’arrivée imminente du RGPD, ce sont bien 173 considérants et 99 articles que les organismes vont devoir intégrer en profondeur dans leur architecture numérique. Un simple mot d’ordre : renforcer les droits des citoyens européens, le règlement est applicable, sans transposition, le 25 mai dans tous les états de l’Union.
En revanche, la méthode change complètement de paradigme. Avec l’ancienne Loi Informatique et Libertés, la conformité consistait à effectuer des déclarations à la CNIL au cas par cas relativement à tous les traitements informatiques de l’entreprise.
Aujourd’hui, la problématique posée est totalement différente. Plus de déclarations. Chaque entité doit avoir mis en place des procédures adaptées pour se conformer à la loi, et surtout prendre la peine de le prouver au travers d’un « registre » documentaire qui expliquera ce que l’on fait, pourquoi et dans quel but on le fait, avec qui on procède en interne et en externe, mais aussi combien de temps on compte le faire tout en expliquant en prime quelles sont les mesures de sécurité engagées afin de protéger efficacement les précieuses données des utilisateurs.
L’entreprise n’est pas propriétaire de ces données, elle n’en est que le simple dépositaire et doit à ce titre en assurer la conservation dans des conditions optimales de transparence, de pertinence, de sécurité et de… légalité.
Fait nouveau, à chaque fois qu’elle mettra en route une nouvelle procédure relative aux données des personnes (clients, salariés, prospects, partenaires, adhérents) la société devra s’assurer d’avoir recueilli le consentement éclairé de leurs légitimes propriétaires, d’intégrer dès la conception d’un traitement un ensemble de dispositifs qui reprendront les -nombreuses – dispositions de la loi, d’assurer leur parfaite sécurité, ce qu’on appelle la « Privacy by design and by default ». Evidemment, l’obligation continue de documentation visée plus haut est le socle du paquet réglementaire, c’est l’ « accountability ».
On ne compte plus les nombreuses officines, experts auto-certifiés, cabinets d’avocats et marabouts légaux se découvrant une vocation nouvelle et très opportune, mettant sur le marché leurs méthodes de conformité, à des tarifs variant sur une échelle allant d’un à cinquante, pour des prestations qui vont de l’inutile à l’excès, de l’incompétence avérée à la recopie pure et simple des excellents conseils et documentations pédagogiques diffusées par la CNIL sur ce vaste sujet. La mission de sanction de la commission, même si c’est la plus connue, est bien loin d’être sa mission principale. Avant tout et surtout, il s’agit de protéger les droits des citoyens, en offrant aux entreprises de très nombreuses procédures, guides, tutoriels et procédures pour y parvenir.
https://www.cnil.fr/fr/vigilance-mise-en-conformite-rgpd
Car la loi est complexe, et au-delà de ce qui peut constituer le corps des textes et des -nombreuses- obligations légales à la charge des chefs d’entreprise, on y trouve d’autres lois, le plus souvent très inattendues :
° La loi de Moore qui nous informe que la puissance des micro-processeurs double tous les dix-huit mois, ce qui implique que dans un temps identique, les ordinateurs des entreprises traitent de plus en plus de données de façon exponentielle.
° La loi de Gilder qui nous montre que la bande passante assurant le transport des données croît un beaucoup plus vite que la loi de Moore…
° La loi de Metcalfe qui nous indique que la valeur ce votre réseau est proportionnelle au carré du nombre de vos utilisateurs.
° La loi de Murphy, qui indique que si un évènement a une chance infime de se produire, alors il aura certainement lieu dans les mois qui viennent, avec comme corollaire que plus un document est confidentiel, plus il sera oublié sur la photocopieuse.
C’est ici qu’intervient le Délégué à la Protection des Données dans l’entreprise, à qui l’on demande d’être en mesure de vous conseiller, légalement et techniquement sur vos procédures internes, de sécuriser au mieux vos systèmes, d’être capable de vous aider à rédiger une charte informatique ayant valeur légale d’annexe à vos contrats de travail, tout comme de conseiller le webmaster sur la bonne méthode à implémenter pour la conformité relative aux consentements ou à la gestion des cookies sur vos sites web, ou encore de mettre en place un procédé cryptographique afin de verrouiller vos données sensibles, tout en encadrant leur sauvegarde.
Comme vous le voyez, il ne suffit pas seulement de vous indiquer ce qu’il faut faire sur le plan légal, mais aussi de vous donner concrètement les méthodes et procédures pour le faire correctement, tout en étant capable de le justifier et de le documenter. Interne ou externe, vous devrez choisir votre correspondant à la protection des données avec grand soin, il en va de votre responsabilité administrative, civile et pénale.
Et n’oubliez pas. Vous êtes responsable ou chef d’entreprise, mais aussi citoyen, consommateur et parent. Ces dispositions vous concernent donc à double titre !
Jean Michel Livowsky – DPO-Avocats
Tribune libre parue le 31 janvier 2018 – L’Opinion