La journée mondiale de la protection des données nous offre l’occasion de rappeler les règles élémentaires auxquelles sont soumises les organisations, qu’elles soient publiques ou privées. Toutes sont liées au RGPD.

Le secteur de la veille est un territoire au sein duquel les données ont toutes leur importance. La data est le carburant de la relation client, de la stratégie marketing, de l’approche financière… Elle constitue une ressource, y-compris en interne, au sein des organisations. Une ressource dont il convient également de mesurer combien elle est à manier avec précautions, notamment pour ce qui relève des données personnelles. Quel est le cadre dans lequel les organisations peuvent évoluer, et qui est responsable de ces données ?

RGPD : les entreprises sont responsables des données

Adopté par le Parlement européen et le Conseil le 27 avril 2016, entré en application le 25 mai 2018, le Règlement général sur la protection des données publiques (RGPD) constitue un cadre de référence sur lequel de nombreuses entreprises et organisations avec lesquelles nous travaillons se questionnent. De quoi parle-t-on exactement ?

Constitué de 11 chapitres et de 99 articles, le RGPD a pour objectif de protéger les personnes physiques quant au stockage, à l’utilisation et à la circulation des données à caractère personnel. Celles-ci concernent tout à la fois les salariés, les clients et les fournisseurs, et peuvent être stockées dans des fichiers qui n’ont pas nécessairement un format digital. Chaque organisation et chacun de ses sous-traitants est soumis à la règle de tenue à jour d’un registre des données, et ce quelle que soit leur taille. La responsabilité des datas privées est ainsi placée sous la responsabilité des employeurs et non plus sous celle de la CNIL, comme cela a longtemps été le cas en France. Charge à chaque organisation publique ou privée de mettre en place en son sein les bonnes pratiques permettant de respecter le RGPD, tant au moment de l’acquisition des données que pendant toute leur durée de vie. Première idée forte donc : les organisations sont placées en première ligne, et doivent par là même s’assurer de la sécurité des données collectées.

Périmètres d’action du DPO

Seconde idée : ces organisations sont encouragées à nommer, en leur sein, un responsable de la protection des données, c’est-à-dire un DPO (Data Protection Officer). Autrefois appelé Correspondant Informatique et Libertés (CIL), celui-ci voit son périmètre d’actions clairement défini dans le RGPD. Le DPO doit notamment posséder deux types de compétences directement traduites dans ses fonctions. Une compétence juridique tout d’abord : le DPO doit connaître et maîtriser les textes en vigueur ainsi que les procédures internes des organisations pour lesquelles il agit. Une compétence technique ensuite : le DPO audite les systèmes, rédige des procédures, prend part aux choix des systèmes d’information et participe à la cybersécurité. Outre une bonne connaissance de l’organisation interne (et particulièrement des processus de traitement des informations à caractère personnel), le DPO doit compter sur des moyens précis afin d’exercer ses fonctions. Son premier rôle est en effet d’informer et de conseiller son organisation sur les bonnes pratiques à respecter afin de demeurer strictement en conformité avec le RGPD. Nommé officiellement, déclaré auprès de la CNIL en France, il est l’interlocuteur privilégié de celle-ci. À noter que cette nomination n’est pas une obligation légale : le RGPD permet une mutualisation et/ou une externalisation de cette fonction (par exemple dans le cadre des nouvelles structures). Pour autant, chaque organisation se doit de justifier du respect des données dans sa gestion des données.

Le DPO n’est pas responsable : l’entreprise en première ligne

Que se passe-t-il en cas de manquements ? Quelles sont les sanctions encourues ? Là encore, de nombreuses organisations se tournent vers nous pour aborder ces questions.

Contrairement à ce que l’on pourrait penser intuitivement, le DPO n’est nullement le responsable en cas d’écart vis-à-vis du RGPD. C’est en effet le responsable du traitement de cette information (un sous-traitant par exemple, ou la DRH en interne) qui portent cette responsabilité. Le Règlement général sur la protection des données publiques prévoit également des droits aux personnes dont les données sont collectées, c’est-à-dire les salariés par exemple. Droit d’accès, droit de rectification, droit à la « portabilité » (toute personne doit pouvoir récupérer les données qu’elle a fournies à une organisation)… Ces éléments sont souvent peu connus des collaborateurs ou des sous-traitants.

En cas de manquement à cette règlementation, le RGPD prévoit tout à la fois des amendes administratives et des sanctions pénales. Certaines amendes administratives peuvent s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2% de son chiffre d’affaires annuel mondial total de l’exercice précédent.

S’inscrivant dans la continuité de la loi française Informatique et Libertés de 1978, le RGPD renforce le contrôle des citoyens sur l’utilisation des données qui leur sont propres. L’activité de veille en entreprise est concernée au premier chef dans la mesure où les organisations collectent au quotidien des informations permettant d’anticiper les évolutions et les innovations. Dans cette perspective, la veille est un élément essentiel, d’où la vigilance la plus extrême qu’il convient d’observer en la matière. En cas de manquement, le RGPD rend en effet possible le fait de rendre public toute infraction, au risque de mettre à mal l’image et donc la réputation d’un employeur. Le Data Privacy Day, ce 28 janvier, constitue une excellente occasion de le rappeler.