A un mois de l'entrée en vigueur du RGPD, comment faut-il agir ?

RGPD que faut-il faire ? logiciels de gestion

« Attention, dès le 26 mai, un inspecteur va débarquer dans votre entreprise et vous condamner à une amende égale à 4% de votre chiffre d’affaire mondial annuel ! »

Mais oui, bien entendu...
Notre environnement économique démontre toujours cette étonnante aptitude à construire son futur en distillant la peur, en imposant des freins, … et en ouvrant une voie à une nouvelle sorte de « diseuses de bonne aventure ».

Relativisons les choses :
Oui, le 25 mai entre bien en vigueur le nouveau RGPD.
Oui, il est sévère quant aux conditions à satisfaire et d’éventuelles sanctions.
Mais il est important de ne pas céder à la panique. Ce règlement sera traduit en « loi belge » (l'avant -projet de loi a été approuvé le 16 mars 2018) et, plus que probablement, ne sera voté au Parlement que lors de la rentrée parlementaire … en automne. A ce stade, aucune certification n’existe (ISO, Aib-Vinçotte, …).

RGPD sécurité des données
Serait-il urgent de ne rien changer ?

Probablement pas à ce point, mais on ne doit pas en être loin. Depuis toujours, vous utilisez les données personnelles de vos clients de façon éthique. Continuez ainsi. Depuis toujours, vous veillez à la sécurité de votre informatique, et donc des données de vos clients. Continuez ainsi.

Saisissez cependant cette opportunité :

  • Rétablissez l’inventaire des données collectées.
  • Examinez si elles sont encore réellement nécessaires, utiles et si leur « sensibilité » est bien en rapport avec l’usage qui en est fait.
  • Enumérez les personnes qui ont accès à ces données et vérifiez si tous ces droits d’accès sont bien « à minima ».
  • Ré-auditez la sécurité informatique en général : les accès depuis de l’extérieur vers l’intérieur de votre réseau local, votre stratégie « anti-virus et autres nuisibles », votre politique mise en place par rapport au risque « bring your own device », … 

Réinventoriez tous ces points. Documentez-les. Procédez à des nettoyages, des élagages, …. Voici certainement ce qu’il faut faire. Sereinement, calmement, dans la durée, …

Avant toute chose, il faut comprendre que le RGPD impose d’abord une obligation de moyens. Les résultats, quant à eux, sont difficiles à appréhender tant la matière est vaste, générale et abstraite.


Et c’est ici qu’un nouveau monde obscur surgit…

Nous sommes étonnés de cette soudaine « invasion » de soi-disant consultants, plus ou moins autoproclamés « RGPD », qui surgissent çà et là. Comment ont-ils fait pour se former à une législation aussi vaste en si peu de temps ? Ils instillent la crainte pour propager leur juteux business. Tenez-vous à bonne distance.

Même la presse généraliste se laisse parfois emporter par ce vent de panique. Dans son article de ce jour, quoi que bien nuancé sur l’urgence de la situation, « Le Soir » laisse toutefois apparaître cette erreur dans sa colonne « Impact pour les entreprises » (voir le PDF). Non, il n’est pas nécessaire de désigner un « délégué à la protection des données » dans toute entreprise. Uniquement si votre entreprise effectue des traitements à grande échelle de données sensibles ou si vous êtes une autorité publique ou un organisme public. Si ces conditions ne sont pas remplies, il est même recommandé de ne pas désigner ce « pilote » car sa nomination entraînerait de facto pour l’entreprise une série d’obligations liées à sa présence dans l’organisation.


Et concernant les logiciels de gestion ?

En matière de logiciels plus précisément, on aura compris de ce qui précède qu’aucun programme de gestion, et singulièrement aucun ERP, ne peut se prétendre « certifié RGPD ». Ce concept n’existe pas.
Tout au plus, un logiciel de gestion peut fournir des outils qui facilitent la mise en conformité : la possibilité de supprimer des données pour implémenter le « droit à l’oubli », la possibilité d’agréger et d’exporter les données pour permettre à quiconque de connaître ses données à caractère personnel détenues par l’entreprise, …
Pour le reste, le logiciel en tant que tel, vu par son éditeur, est avant tout à considérer comme un moyen de stockage et d’accès aux données. Il a donc très peu à voir avec les données en tant que telles, et leur caractère « sensible » ou pas.

A lire aussi :
Mercator est-il conforme au RGPD ?