Quand 40 ans de laxisme se heurtent à la rigueur du RGPD
A l'initiative du cabinet TnP, des DPO ont tiré un premier bilan du RGPD à l'occasion du premier anniversaire de son application.
PublicitéLe RGPD (Règlement Général européen sur la Protection des Données personnelles, GDPR en Anglais) ? Pour certains, ce sigle est synonyme de cauchemar. Pour François Pellegrini, membre de la CNIL, le RGPD a eu un effet cathartique car, si certains ont eu peur, « cela signifie que depuis 40 ans les entreprises ne se préoccupaient pas de la Loi Informatique et Liberté », datant de 1978. En effet, le RGPD ne modifie pas substantiellement les règles et les bonnes pratiques : il les précise et élève parfois le niveau d'exigence tout en simplifiant le côté administratif. Et en alourdissant considérablement les sanctions en cas de manquements, rendant nécessaire de se préoccuper du sujet. François Pellegrini s'exprimait, aux côtés de DPO et d'autres spécialistes, à l'occasion d'une célébration du premier anniversaire de l'application du RGPD organisée par le cabinet TnP.
Au sein du groupe Axa, le RGPD est devenu un sujet de direction générale dès 2016. Tous les DG du groupe ont en effet cordialement invités, par un courrier du président, à présenter leur plan d'action et leur budget. « Le point positif du RGPD a été de compléter l'inventaire des traitements présents dans le groupe » s'est ainsi réjoui Fabienne Naime, DPO chez Axa Partners. Le DPO a désormais le pouvoir de s'imposer dans les comités de projet, notamment pour obliger au Privacy-by-design. Mais dès 2013, le groupe avait commencé à se saisir, dans le monde entier, du sujet. Le RGPD n'est en effet que la version européenne d'un mouvement largement mondial.
Le RGPD porte une valeur business
Chez Dior Couture, le RGPD a été volontairement appliqué partout dans le monde au bénéfice de tous les clients, européens ou non. Outre le respect de réglementations locales moins sévères, cette démarche n'était pas totalement désintéressée. « Nous voulions une transparence totale avec nos clients » a ainsi affirmé Elisabeth Quillatre, DPO chez Christian Dior Couture. En cinq mois, tous les éléments de la politique data ont ainsi été fixés, après confrontation des besoins business et de la réglementation. Le RGPD a en effet une vraie valeur pour les entreprise comme Elisabeth Quillatre le souligne : « nous voulons mériter la confiance de nos clients pour qu'ils acceptent de nous confier leurs données ». L'approche d'un autre témoin, Erevan Malroux, DPO de Rakuten France, a été similaire : « il ne faut pas opposer la réglementation et le business » a-t-il insisté.
De l'aveu même de la CNIL, une sanction est un échec : c'est juste la preuve que l'entreprise n'a pas compris son propre intérêt. Son propre intérêt, c'est en effet de donner confiance à ses clients, ce qui implique une politique rigoureuse en matière de données personnelles. Cela dit, certaines technologies posent en elles-mêmes des problèmes, comme la blockchain qui conserve éternellement les données, donc sans gestion du cycle de vie et de l'effacement de celles-ci. Il peut y avoir aussi des craintes métier : ne plus pouvoir travailler, faute de données suffisantes. Mais, en fait, cet argument est fallacieux car le RGPD oblige à disposer de données pertinentes et qualitatives, bref à bien travailler grâce à de bonnes données au lieu d'un travail brouillon sur des données mal gérées.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire