Quel partenaire privacy pour demain ?
Ce solutionnisme technologique s’applique dans le domaine de la privacy, spécifiquement pour répondre aux attendus des réglementations en matière de protection des données personnelles. Ces réglementations sont nombreuses et parfois complexes. Au-delà du très renommé RGPD (Règlement Général relatif à la Protection des Données 2016/679), d’autres réglementations françaises, européennes ou encore internationales nécessitent de combiner tous les attendus de manière à les satisfaire. On pourrait citer, pour les plus connues, la loi Informatique et Liberté de 1978 en France, la CCPA californienne (California Consumer Privacy Act), la PIPL (Personal Information Protection Law) en Chine ou encore la LGPD (Lei Geral de Proteção de Dados) au Brésil. Pour ne parler que des règles s’appliquant aux organismes situés au sein de l’Union européenne, ou dont les services et produits sont destinés à des résidents européens, celles-ci peuvent se regrouper sous un grand principe : l’accountability. Ce principe de "réédition de compte", c’està- dire d’apport de preuves de ce que l’on avance, justifie, à lui seul, la nécessité de se doter d’un logiciel pour centraliser et maintenir ces preuves. Parmi les preuves, on retrouve le registre des activités de traitement, les contrats, les réponses aux demandes d’exercice des droits, le journal des violations de données etc.
"La seule taille et la maturité d’un organisme ne sont plus d’actualité"
C’est au moment de la prise de conscience réelle des enjeux et exigences de la conformité RGPD que les organismes se tournent vers un logiciel. Leur objectif : respecter les règles de base de la conformité pour passer sous les radars de la CNIL. Cependant, les organismes peuvent se tourner également vers des conseillers aguerris. Ces techniciens, experts, extérieurs à l’organisme, présentent les qualités d’être impartiaux et disponibles. Des attributs souvent lointains des Délégués à la Protection des Données internes (DPD/DPO). Ces experts oeuvrent souvent avec un outil : ils manient les règles juridiques et maîtrisent les techniques pour les traduire dans un logiciel de conformité.
Les nouveaux indices pour se doter des ressources adéquates
Le couple investissement/risque permet d’identifier les ressources nécessaires à engager tout en prenant en compte les enjeux financiers, d’image ou encore humain de l’organisme. Par exemple, une TPE ne va pas engager les mêmes moyens qu’un grand compte. Cependant, les règles sont les mêmes pour tous, secteur privé comme public.
Certains moyens sont à disposition de tous. Désigner en interne un pilote pour assurer le chantier de la conformité RGPD, quelle que soit la taille de l’organisme, est à la portée de tous. Même si celui-ci n’est pas à 100 % de son temps sur ce chantier, s’il dispose des ressources et moyens nécessaires pour accomplir sa tâche, il pourra diffuser cette culture de maîtrise des données personnelles en interne. Votre pilote ou DPD pourra compter sur des aides extérieures pour avancer dans sa quête, en particulier la CNIL qui, au-delà de sa mission de contrôle, accompagne concrètement les organismes en mettant à disposition sur son site internet des référentiels ou encore des vidéos pédagogiques.
D’autres moyens semblaient réservés à une certaine élite, ceux qui étaient sensibilisés. En effet, les grands organismes se sont rapidement dotés d’un logiciel pour gérer leur conformité au RGPD. Ces logiciels n’étaient pas très nombreux sur le marché en 2016. Et pourtant, les organismes devaient se mettre en conformité entre 2016 et 2018. Depuis, utiliser un outil de conformité au RGPD est répandu, et il est aisé de constater que même les petites entreprises se dirigent naturellement vers une solution logicielle pour éviter le fameux Excel difficile à maintenir dans le temps.
La seule taille et la maturité d’un organisme, faisceaux d’indice de ceux qui se tournaient vers un logiciel, ne sont plus d’actualité. C’est bien la conscience de faire du chantier RGPD un levier concurrentiel et un moyen de maîtriser son patrimoine de données qui a fait émerger le marché des solutions de privacy management.
Au-delà des logiciels de conformité RGPD
La démocratisation des privacy management platforms a révélé que derrière ces logiciels se trouvaient des équipes d’experts, de juristes, d’informaticiens, des architectes des systèmes d’information ou encore des gestionnaires de patrimoine de la data. Tous oeuvrent dans l’optique de proposer non seulement une solution répondant aux besoins des organismes, mais également des services pour accompagner les pilotes internes de protection des données et/ou DPO souvent esseulés, avec peu de ressources et de moyens.
Au-delà des entreprises proposant les services d’un DPO pour les organismes souhaitant externaliser cette tâche, certains logiciels de conformité RGPD mettent à disposition de leurs clients des experts, DPO certifiés, proposant des accompagnements ponctuels et pédagogiques, comme la réalisation d’une AIPD, la revue du registre avec recommandations, la rédaction de procédures internes pour anticiper une violation de donnée, un contrôle de la Cnil ou encore une demande d’exercice des droits.
"Seul un partenaire de confiance Privacy alliant l’Homme et la Machine est en mesure d’identifier les stratégies à adopter pour valoriser son organisme grâce à la protection des données"
Ainsi, il existe de nombreux outils permettant de répondre au besoin de comprendre la protection des données et de saisir les clés de réussite. Non seulement afin de se conformer à une obligation légale, mais surtout pour s’approprier cette grande culture européenne qu’est la protection des données. En effet, vous trouverez facilement des partenaires proposant des espaces d’échanges comme l’AFCDP. Mais aussi des lieux de partage et de retour d’expériences comme les forums ou encore les salons [université des DPO, transformation du droit…] ou enfin des think-tanks dédiés aux réflexions sur la donnée d’un point de vue écologique, économique ou encore éthique comme le Cercle de la Donnée ou l’association PrivacyTech.
On a parfois tendance à identifier la taille d’un organisme comme seul indice pour se lancer ou non dans la conformité au RGPD. "Je suis une start-up. La Cnil ne contrôlera mes actions que bien après les grandes entreprises". Ou encore : "Je ne fais que du BtoB, donc je ne traite quasiment pas de données personnelles. Je passerai sans aucun doute sous les radars des contrôles". Non seulement, cela démontre un manque de connaissance et de maturité mais surtout un défaut d’identification des stratégies à adopter pour valoriser son organisme grâce à la protection des données. Aucun outil du marché ne pourrait répondre à cela. Seul un partenaire de confiance Privacy alliant l’Homme et la Machine est en mesure de le faire.
Le partenaire privacy ou l’alliance de l’expertise et de la technique
Oui, il existe des éditeurs de logiciels RGPD dont les équipes pluridisciplinaires s’engagent en partenaire de confiance auprès de leurs clients. Leur démarche s’inscrit dans la satisfaction non seulement du besoin d’une solution performante, simple et sécurisée pour gérer dans le temps la conformité aux règles de protection des données personnelles, mais également la mise à disposition d’une équipe d’experts pour des accompagnements ponctuels dont les méthodologies sont éprouvées par une forte expérience. C’est ce que propose l’équipe Adequacy. Au-delà de sa solution, ce sont des experts dédiés aux utilisateurs proposant non seulement des services mais aussi des cercles d’échange pour permettre à leurs clients de trouver des solutions, à la fois techniques et stratégiques, et ainsi, effectivement, faire du RGPD un réel atout concurrentiel. Vous vous mettiez en conformité hier, vous maîtriserez votre patrimoine de la donnée demain.
SUR L’AUTEUR
Angélique de Tourtier est directrice de la Relation Clients chez Adequacy, solution de management des données à caractère personnel. Elle est également la créatrice du podcast l’Instant Privacy et déléguée à la Protection des données certifiée (Afnor).