Edito - RGPD / GDPR : dies irae, dies illa
25 Mai 2018, c'est le jour d'application du Règlement Général européen pour la Protection des Données personnelles (RGPD en Français ou GDPR en Anglais). Tout le monde est évidemment en parfaite conformité.
PublicitéDepuis deux ans qu'on attendait cette date, celle-ci a fini par arriver. Nous sommes le 25 Mai 2018, c'est le jour où Règlement Général européen pour la Protection des Données personnelles (RGPD en Français ou GDPR en Anglais) est en application. Ce jour est donc une grande révolution. Un tsunami. La fin du monde (ou « d'un monde » tempéreront les optimistes). Rien ne sera plus comme avant. Exactement comme le 1er janvier 2000 ou le lendemain du 21 décembre 2012.
Bon, concrètement, qu'est-ce qui change ? Normalement, rien ou très peu. Si vous avez toujours été sérieux depuis 1978 et la Loi Informatique et Liberté, si vous avez un système d'information parfaitement architecturé, si la localisation des données a toujours été pour vous une évidence, si la sécurité de vos données sensibles est assurée de manière démontrable... Si, si, si... Normalement, rien n'aurait dû changer, ou si peu. Bien entendu, ces nombreux « si » ont obligé la plupart des DSI à quelques menus travaux. Et la peinture n'est pas toujours encore très sèche. Voire, il manque parfois un mur ou deux, un toit ou quelques portes.
Des amendes qui font réfléchir
Brutalement, le montant des amendes encourues par les entreprises ont obligé à se poser quelques questions, alors que les réponses auraient dû être connues depuis 1978. Des amendes pouvant atteindre 4 % du chiffre d'affaires mondial, cela interpelle le PDG. Alors, les DSI un peu en retard vont-ils être responsables de la faillite de leurs entreprises ? Bien sûr que non. Pour l'heure, l'essentiel reste que la démarche de conformité soit effectivement, concrètement, engagée. Il faut avoir des réponses aux questions. La vraie sanction sera plus brutale en cas d'incident : ce sera celle infligée par les clients, désormais très avertis et vigilants. Ce sera celle infligée par les talents qui refuseront de rejoindre une entreprise.
Le RGPD / GDPR, c'est le texte réglementaire de l'âge de la donnée mais aussi celui de l'âge du client. Plus personne, dans l'entreprise, ne peut négliger l'importance de cette data, de ce patrimoine, pas plus qu'il ne peut négliger la relation client ou la séduction des talents rares. La Loi oblige à s'en préoccuper. Qu'il y ait ou non un directeur dédié à la question, l'IT voit son importance accrue et nécessairement reconnue. Un bon DSI ne peut qu'en tirer avantage, notamment pour imposer le dialogue avec les autres directions (juridique, relation client, etc.), dialogue qui sera animé par le fameux DPO (successeur du CIL).
Même la CNIL n'est pas tout à fait prête
Après tout, la CNIL (Commission Nationale Informatique et Liberté), l'autorité responsable, ne montre-t-elle pas l'exemple de la peinture pas tout à fait sèche ? Elle vient ainsi tout juste de lancer une double consultation publique sur la certification de délégué à la protection des données (DPO), consultation qui s'achèvera le 22 juin 2018. L'objectif est de créer deux référentiels : l'un de compétences pour le fameux DPO, l'autre pour les formations destinées à ces DPO.
Alors, moins de paperasse bureaucratique, encore moins de déclarations par rapport à la réforme de 2004, mais beaucoup plus de responsabilité et d'autonomie, moins d'obligations de moyens, plus d'obligations de résultats : voilà, concrètement, ce que change le RGPD. Et, sincèrement, citoyennement, qui peut s'en plaindre, même si ça donne « un peu » de travail, du travail qui aurait dû être fait depuis longtemps ?
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire