
GDPR, le compte à rebours est enclenché
- De Bernard Gauvignon
- Le 12 septembre 2017
GDPR, 25 mai 2018 : la deadline fatidique
Les entreprises vont devoir se mettre en conformité avec la nouvelle réglementation européenne relative à la protection des données individuelles. Ces nouvelles dispositions, qui vont plus loin que ce que notre CNIL nationale nous imposait jusqu’à présent, sont l’aboutissement de quatre années de réflexion et de travail au niveau européen.
Si la majorité des décideurs en entreprise sont informés et connaissent les grands principes ainsi que les modalités imposées par la GDPR, tous n’ont pas encore lancé les opérations concrètes et indispensables sur l’évolution de leurs organisations, process, méthodes et outils informatiques.
Mais avant de rentrer dans le détail des grands principes de ce nouveau cadre commun Européen de protection des données, sachez qu’il s’adresse et sera applicable par toutes les entreprises publiques et privées Européennes et non Européennes qui collectent, traitent ou détiennent des données de citoyens de l’Union. Attention, cela signifie que même le logiciel américain que vous utilisez pour gérer tel ou tel processus impliquant des données individuelles est concerné par ces nouvelles dispositions réglementaires.
GDPR, un accord explicite et formel de tous
…salariés comme clients pour saisir, stocker et détenir des données individuelles.

GDPR, vers la protection des données individuelles
Axiome de base, il va falloir sensibiliser tout le monde à une vraie protection des données individuelles. Ce principe de base va devoir être en permanence au cœur de la vie et de la gestion des données personnelles. Qu’il s’agisse des phases amont d’analyse en vue de la conception et de la mise en œuvre d’un outil informatique ou des évolutions tout au long de sa vie, vous devrez, à chaque étape, décrire précisément les conditions de stockage et de traitement des données. Attention, plus question, par exemple, de prévoir un stockage massif de données dans un datawarehouse (entrepôt de données) maison sans définir précisément en amont tous les traitements possibles et leurs finalités.
Un délégué « à la protection des données » (DPO) aura la lourde responsabilité de coordonner la mise en place de cette nouvelle gouvernance.
GDPR, preuve de consentement est clée
L’entreprise devra pouvoir fournir la preuve du consentement à utiliser les données…si l’intéressé en fait la demande. Elle devra expliquer et formaliser les tenants et les aboutissants de tout traitement mis en œuvre, les objectifs de tous les processus impliquant des données personnelles que ce soit à des fins commerciales, informatiques ou autres.

Les intéressés devront également connaître les modalités de retrait des données les concernant.
En cas d’exercice de ce droit à l’oubli les entreprises disposeront d’un délai limité pour les retirer de tous les traitements et systèmes de gestion informatisés ou non. Qui plus est, les intéressés pourront exiger une traçabilité et la preuve des opérations relatives à ces suppressions. Le législateur, pour éviter toute dérive, a cependant indiqué que cette demande se devait d’être « légitime ».
C’est exactement ce que des éditeurs français comme Fœderis ont déjà mis en œuvre autour leur logiciel RH en mode SaaS : des systèmes de sécurité qui vont bien au-delà de ce qu’habituellement les entreprises mettent en place pour elles-mêmes. Les logiciels de sécurité sont souvent doublés et tous les processus de supervision répondent à des exigences extrêmement poussées. Les dernières versions des logiciels directeurs sont automatiquement implémentées. Des robots scannent en permanence les systèmes pour déceler d’éventuelles tentatives d’intrusion.
Cette transition vers une protection renforcée des données individuelles peut être une opportunité pour les employeurs et les partenaires sociaux pour resserrer des liens aujourd’hui quelque peu distendus.
A eux de la saisir.
Bernard GAUVIGNON
Associé Fondateur