RGPD, le bilan de nos consultants après 2 ans

08 Juin. 2020

Mai 2018, mai 2020 : voilà 2 ans déjà que le règlement général sur la protection des données (RGPD) est entré en application,
c’est-à-dire que les organisations sont susceptibles d’être sanctionnées en cas de non-conformité.

Ce second anniversaire est donc bien le moment de dresser un bilan de ce que nos consultants constatent sur le terrain et d’où en sont les organisations dans leur démarche de conformité.

Une situation très hétérogène mais une maturité encore faible…

Si beaucoup de structures, notamment les plus grosses, se sont engagées dans une mise en conformité avant même la date fatidique du 25 mai 2018, il en est encore beaucoup, généralement plus petites, qui indiquent parfois même ne pas avoir entendu parler de ce texte, souvent assez « loin » de leurs préoccupations quotidiennes.

Ce qui amène une très grande disparité dans le niveau de maturité constaté sur le terrain, certaines intégrant bien les principes de protection des données dès la conception (ou « privacy-by-design ») d’un produit ou d’un service, d’un processus… bref, en un mot d’un traitement, qu’il soit d’ailleurs à destination de leurs clients ou à vocation purement interne, les autres se posant encore la question de l’applicabilité du texte à leur structure ou ébauchant le « registre des traitements », inventaire interne fondamental venu remplacer les démarches (déclarations, autorisations…) qu’il fallait auparavant faire à la CNIL. Cet inventaire est l’occasion de revoir les pratiques mais également l’état des contrats avec les prestataires ou partenaires.

… un état de lieux de la sécurité des systèmes et des données…

A l’heure où se multiplient les gros titres faisant état de « violation » de données, par millions d’enregistrements, avec parfois des données habituellement considérées comme « sensibles », cet inventaire est aussi l’occasion de s’interroger sur les mesures de sécurité en place et leur adéquation justement par rapport au degré de sensibilité, de criticité des données et des systèmes qui les traitent. Avec là aussi, un degré d’adéquation et de sécurisation assez hétérogène.

…et une maturité elle aussi mise à mal par la crise sanitaire du Covid-19

Si le secteur d’activité mais surtout la taille de l’organisation sont des points majeurs d’écarts importants constatés entre les structures, un point commun à tous est que la crise sanitaire que nous traversons, a fortiori dans le Grand Est, a mis un sérieux coup de frein – lorsque ce n’est pas un coup d’arrêt net – aux démarches entreprises. En effet, les priorités sont (vues comme étant) ailleurs. Et on le comprend.

Pourtant les mesures mises en place pour lutter contre ce virus et pour passer cette même crise sont bien aussi l’occasion de se poser des questions quant au respect de la vie privée et de la protection des données personnelles, en commençant par les données relatives à la santé bien sûr (rapport au management sur l’état de santé, prise de température corporelle pour pénétrer dans des locaux, voire reconnaissance faciale concernant le port du masque… en passant par le déploiement prochainement envisagé de l’application StopCovid).

Les sujets ne manquent pas, et la transparence vis-à-vis des personnes concernées est un élément clé pour espérer la confiance visée et le regain du contrôle des données par les personnes concernées, objectifs principaux de ce RGPD !

Si les autorités de contrôle, comme la CNIL en France, ont elles-aussi réorientés leurs travaux sur l’actualité, elles ont également clairement indiqué que cette crise n’était pas pour autant une excuse, ni une raison pour s’affranchir des règles. On peut donc s’attendre à ce qu’elles restent vigilantes et que des contrôles seront opérés.

Acesi peut vous aider

Forts d’une longue expérience sur ces thématiques de protection des données et de sécurité, les consultants du Groupe ACESI peuvent vous accompagner et vous assister dans vos démarches de mise et de maintien en conformité avec le RGPD et de sécurisation de votre système d’information.

  • De dresser un état des lieux initial de votre maturité, essentiellement autour d’entretiens avec les responsables métier et conduisant à l’initialisation du registre des traitements et un rapport et une proposition de plan d’actions,
  • D’accompagner votre DPO ou référent interne pour la mise en place et/ou l’exécution d’un plan d’actions, suite à la réalisation d’un audit,
  • D’être en support ponctuel de vos équipes sur un thème particulier, tel que la conformité de vos traitements RH, marketing ou informatiques, de votre site web,
  • De tenir la fonction et réaliser les missions de délégué – externe et en temps partagé – à la protection des données (DPO) parfois exigé selon la situation de votre organisation, et dont le périmètre est bien encadré par les textes.

Aujourd’hui, ACESI est désignée DPO ou accompagne différentes structures, de toutes tailles, de différents domaines d’activité (organisations territoriales, structures de santé, distributeur et fournisseur d’énergie, de solutions de télécommunications, logisticiens, concepteurs d’objets connectés ou d’applications mobiles…).

Et demain, pourquoi pas vous et votre organisation ?

Sur le même sujet

Découvrez le rapport d’activité 2019 de la CNIL :

Ces articles peuvent vous intéresser