RGPD : les entreprises sont-elles prêtes ?

À 2 mois de la mise en vigueur du Règlement Général de Protection des Données, la situation des entreprises européennes est plutôt contrastée face à cette nouvelle réglementation. Pour certaines entreprises, la communication paraît encore assez floue : nous observons beaucoup d’entreprises cherchant à se renseigner, mais qui font face à des communications généralistes et parfois confuses. À la fin 2017, plus de 90% des sociétés n’étaient encore pas vraiment au courant du RGPD ! D’autres, au contraire, ont une attitude bien plus opportuniste et considèrent cette nouvelle réglementation comme un marché à considérer. Chaque entreprise doit finalement faire le point sur son rapport à la donnée. La mise en place de la GDPR-compliance doit s’inscrire dans une démarche personnalisée, où la communication est adaptée en fonction de l’entreprise, avec de vraies séances d’échanges concrets, pour que les entreprises puissent réellement comprendre l’impact de cette réglementation sur leur activité et décider de la marche à suivre en connaissance et en conscience.

Nous sortons ce jeudi 15 mars un cours entièrement dédié au RGPD, pour le comprendre, bien s’y préparer et mettre en place les processus adaptés. Ce cours a été co-édité avec James Nauffray, fondateur de TechAgency, une agence de conseil européenne dont l’expertise est entièrement centrée sur la donnée. Coorpacademy a d’ailleurs choisi James comme Data Protection Officer (DPO) !

Quelles sont les premières étapes pour se mettre en marche ?  

James Nauffray : En premier lieu, il faut en prendre conscience. L’urgence est d’engager une démarche de prise de connaissance non évènementielle, à la fois pragmatique, structurée et répondant à la réalité individuelle de l’entreprise ; ce type d’échanges doit permettre de faire ressortir les premières évidences quant au niveau d’exposition de l’entreprise face au règlement, et de comprendre les véritables enjeux et responsabilités de cette dernière. Si l’entreprise est concernée, il faut en deuxième lieu qu’elle nomme un pilote pour la mise en conformité, et l’entourer si nécessaire d’une expertise extérieure pour pouvoir guider la démarche de GDPR-compliance. Enfin, en troisième lieu, il faut établir la roadmap, un plan d’action pour cartographier et évaluer les traitements quant aux données personnelles, gérer les priorités et les risques, (ré)organiser les processus, suivre les évolutions, et mettre en place une nouvelle gouvernance durablement conforme au niveau de la gestion des données personnelles à tous les niveaux de l’organisation.

On en parle beaucoup comme d’une contrainte, mais qu’est-ce que les entreprises ont à gagner de cette nouvelle réglementation ?

J.N. : En fait, beaucoup de choses. Les entreprises bien préparées vont gagner une nouvelle gouvernance vertueuse de la donnée qui concernera tous leurs départements, mais aussi une meilleure connaissance de leurs processus et traitements. La gestion du cycle de vie de la donnée sera plus saine, plus rationnelle et l’entreprise pourra se positionner en tiers numérique de confiance pour les clients, les partenaires et les investisseurs. Le fait de bien se préoccuper de la manière dont on traite les données, cela responsabilise aussi tous les acteurs impliqués dans la chaîne de valeur, qui sont ainsi conduits vers une meilleure compréhension des processus traitant les données de l’entreprise. En étant reconnu responsable et éthique dans le traitement des données, on peut trouver de nouvelles opportunités liées à la perception de tiers de confiance numérique, car la donnée, ce doit être avant tout de la confiance !