A mesure que la date fatidique du 25 mai 2018 approche, certains commencent à s’interroger : serai-je prêt à temps pour l’entrée en vigueur du RGPD ? Ai-je pensé à tout pour être parfaitement en phase avec les obligations du nouveau règlement européen ?

Quant à ceux qui ne se sont pas encore préoccupés du problème, ou qui accusent un net retard (ce qui est le cas d’un grand nombre d’entreprises), la pression monte inéluctablement.

Fort heureusement, les uns comme les autres peuvent compter sur un large panel d’aides. En effet, comme la démarche de mise en conformité vis-à-vis du RGPD est très vite apparue assez complexe à mettre en place, elle a suscité l’intérêt de nombreux spécialistes. Ces derniers se sont précocement emparés du sujet pour élaborer des outils destinés à informer, conseiller, guider, ou encore accompagner les entreprises concernées dans leur délicate transition vers une politique de protection des données beaucoup plus fiable et sûre. Aujourd’hui, même à quelques semaines de la fin du compte à rebours, ces aides peuvent encore être d’une grande utilité.

La CNIL, un outil d’accompagnement essentiel

La Commission Nationale de l’Informatique et des Libertés (CNIL) est avant tout considérée comme un organisme de contrôle. D’ailleurs, lorsque le RGPD prendra officiellement effet, son rôle sera encore renforcé, avec la possibilité de prononcer des très lourdes sanctions administratives.

Toutefois, sous ses airs de gendarme intransigeant, l’agence publique ne se montre pas que répressive. Elle sait aussi dispenser des conseils très utiles. Ainsi, pour le RGPD, elle a élaboré une méthode destinée à accompagner les entreprises vers une mise en conformité adéquat. Son plan d’action s’organise en 6 étapes, clairement définies, et offre un cadre rigoureux pour mener à bien la conduite au changement :

–          Désignation d’un DPO

–          Tenue d’un registre détaillé des activités de traitement

–          Évaluation des changements à mener

–          Réalisation d’une étude d’impact approfondie (PIA) si traitement de données sensibles

–          Mise en place de procédures pour sécuriser les données

–          Constitution d’une documentation complète prouvant la conformité au RGPD

Si la CNIL offre un guide précieux pour tous ceux qui peinent à s’organiser et à sauter le pas vers le RGPD, il convient de noter qu’elle n’est pas la seule. D’autres organismes et associations spécialisés s’impliquent également en ce sens.

L’AFCDP (Association Française des Correspondants aux Données Personnelles)

L’AFCDP est née en 2004, en même temps que le métier de Correspondant Informatique et Libertés (CIL). Tout au long de ces années, l’association s’est attachée à mettre en avant le rôle primordial des CIL, lesquels ont en charge, dans les organismes où ils sont employés, de veiller au bon traitement des données à caractère personnel qui sont recueillies. Avec l’avènement du RGPD, ces experts en protection des données vont encore gagner en importance. D’ailleurs, le nouveau règlement prévoit une redéfinition de leur fonction, sous l’appellation Délégué à la Protection des Données ou Data Protection Officer (DPO).

Aujourd’hui, le but de l’AFCDP est de communiquer sur les changements en cours. Pour ce faire, elle propose notamment une lecture simplifiée du RGPD, qui est à la base un document complexe, très dense, aux multiples entrées. Avec sa version annotée, l’association s’adresse aussi bien aux responsables des traitements qu’aux CIL, futurs DPO, lesquels, par son biais, pourront mieux appréhender les points techniques et juridiques les plus compliqués.

L’ADPO (Association des Datas Protection Officers)

Dans le même esprit que l’AFCDP, laquelle a vu le jour lorsque la loi Informatique et Libertés a été modifiée (2004), l’ADPO a été spécifiquement créée en 2016, en prévision des grands changements annoncés par le RGPD, à commencer par la redéfinition de la fonction de CIL en DPO (Data Protection Officer).

L’association, constituée d’experts de la protection des données, et présidée par un avocat spécialiste en droit de l’informatique, propose d’aider et d’accompagner les futurs DPO (la plupart d’anciens CIL) dans leurs nouvelles fonctions. Pour ce faire, elle met à leur disposition un certain nombre de publications et d’informations juridiques, organise des conférences, constitue des groupes de travail, etc. Autant d’outils qui permettent aux DPO d’échanger et de réfléchir sur leurs nouvelles responsabilités.

Le Clusif (Club de la sécurité de l’information français)

Depuis 1992, cette association regroupe des sociétés et des organismes évoluant dans des secteurs économiques très divers, mais qui ont tous en commun de s’intéresser de très près au problème de la sécurité de l’information.

Constitués en différents groupes de travail, les membres du Clusif abordent tous les thèmes en lien avec la sécurité informatique et la protection des données. De ces échanges, nourris de l’expertise et des retours d’expérience de chacun, naissent des publications qui sont mises gratuitement à la disposition des entreprises et autres organismes publics, pour sensibiliser ces derniers, et les aider à appliquer les bonnes pratiques en matière de sécurité des données. Le RGPD fait évidemment partie des sujets phares abordés par le Clusif, compte tenu des nombreux changements qu’il va susciter, et de sa très prochaine mise en application.

A noter que le Clusif organise également des conférences, et dispose de plusieurs relais dans les régions, les Clusir (Clubs de la sécurité de l’information régionaux).

Le Medef

Le Mouvement des Entreprises de France s’est aussi penché sur le problème du RGPD. Dans sa thématique « Droit de l’entreprise », l’organisation patronale traite largement du nouveau règlement européen. Elle propose un guide pratique sur la protection des données, ainsi qu’un outil de diagnostic en ligne pour aider les entreprises dans leur cheminement vers la mise en conformité.

Le Medef est également à même d’orienter ceux qui le souhaitent vers des spécialistes du RGPD.

Les cabinets de conseil spécialisés

Pour ceux qui n’ont ni les compétences, ni le temps de se pencher sur la question du RGPD, le recours aux cabinets de conseil spécialisés est toujours possible. Audit de conformité, audit technique pour savoir si l’entreprise dispose des bons outils de protection, sensibilisation et formation des personnels pour les amener à adopter les bons comportements en matière de traitement des données, aspects juridiques, etc., ces cabinets peuvent prendre en charge tout ou partie de la démarche de mise en conformité. A ce titre, Ylneo se tient à votre disposition pour toute question concernant votre situation par rapport au nouveau règlement européen sur la protection des données à caractère personnel.

Sources :

https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

https://www.linformaticien.com/dossiers/rgpd160-serez-vous-pr234t160-1.aspx

A venir : RGPD : l’analyse d’impact