RGPD. Le Règlement européen sur la protection des données. Le texte vise à mieux encadrer la collecte de données des citoyens de l’Union européenne par les entreprises. L’heure est à la mise en conformité pour toutes les organisations. Objectif : être prêtes pour le 25 mai 2018. Le 14 novembre dernier, Tech In France le Cigref et l’AFAI organisaient un colloque de restitution de leurs travaux « Entreprises, les clés d’une application réussie du RGPD ».
Un travail conjoint initié à l’été 2016
Les trois organisations professionnelles, épaulées par quatre cabinets d’avocats (August Debouzy, De Gaulle Fleurance & Associés, Osborne Clarke et Samman), se sont mobilisées dès l’été 2016 pour produire un document de référence sur la mise en application du règlement européen.
Cette initiative a deux objectifs :
- Sensibiliser les entreprises sur l’urgence et l’ampleur du projet de mise en conformité avec le règlement européen
- Produire un guide de recommandations pratiques et applicables pour se mettre en conformité avec le RGPD. Cela permet d’apporter une aide opérationnelle concrète à tous ceux qui ont engagé ou engagent leur projet de mise en conformité.
« Les travaux produits après échanges avec la CNIL, ont permis de mettre en exergue l’importance d’engager un projet dédié au RGPD impliquant toutes les parties prenantes de l’entreprise, et de mener les actions d’évolutions du SI, en collaboration entre clients et fournisseurs selon les responsabilités de chacun«
Les travaux des organisations professionnelles et des cabinets d’avocats ont permis de produire plusieurs outils ayant pour objectif d’accompagner dans la durée les entreprises dans leur projet de mise en conformité avec les exigences européennes. Elles ont notamment à leur disposition une check-list de 50 questions à se poser pour être en conformité avec une identification des enjeux métiers, de gouvernance et de cybersécurité.
Des clés pour une application réussie du RGPD
Les travaux présentés courant novembre sont également à l’origine d’une liste de plus de 300 mesures techniques et recommandations pour traduire la conformité de manière opérationnelle dans les systèmes d’information (SI). Cette liste se décline sur trois grands axes : la sécurité du SI, la protection des données et le droit des personnes. Le dernier outil proposé se présente sous la forme d’un guide juridique. Il aborde par exemple les questions liées à la gouvernance interne ou aux moyens de démonstration de la confiance.
« Les travaux ont particulièrement ciblé le système d’information des organisations, qui porte leur activité, et dont l’architecture relève d’un choix d’entreprise répondant à des impératifs opérationnels (métier, marchés, flux de données, offre technologique comme le cloud par exemple) », ont précisé les auteurs du document. « Ce choix ne doit pas être remis en cause du seul fait des contraintes réglementaires sur les données personnelles. La conformité est un objectif incontournable, qui doit pouvoir être atteint quelles que soient les options techniques retenues ».