Elles vont devoir se mettre en conformité avec la nouvelle réglementation européenne relative à la protection des données individuelles. Ces nouvelles dispositions, qui vont plus loin que ce que notre CNIL nationale nous imposait jusqu’à présent, sont l’aboutissement de quatre années de réflexion et de travail au niveau européen.

Si la majorité des décideurs en entreprise sont informés et connaissent les grands principes ainsi que les modalités imposées par la GDPR, tous n’ont pas encore lancé les opérations concrètes et indispensables sur l’évolution de leurs organisations, process, méthodes et outils informatiques.

Mais avant de rentrer dans le détail des grands principes de ce nouveau cadre commun Européen de protection des données, sachez qu’il s’adresse et sera applicable par toutes les entreprises publiques et privées Européennes et non Européennes qui collectent, traitent ou détiennent des données de citoyens de l’Union. Attention, cela signifie que même le logiciel américain que vous utilisez pour gérer tel ou tel processus impliquant des données individuelles est concerné par ces nouvelles dispositions réglementaires.

Ce principe de base va devoir être en permanence au cœur de la vie et de la gestion des données personnelles. Qu’il s’agisse des phases amont d’analyse en vue de la conception et de la mise en œuvre d’un outil informatique ou des évolutions tout au long de sa vie, vous devrez, à chaque étape, décrire précisément les conditions de stockage et de traitement des données. Attention, plus question, par exemple, de prévoir un stockage massif de données dans un datawarehouse (entrepôt de données) maison sans définir précisément en amont tous les traitements possibles et leurs finalités.

Un délégué « à la protection des données » (DPO) aura la lourde responsabilité de coordonner la mise en place de cette nouvelle gouvernance.

En cas d’exercice de ce droit à l’oubli les entreprises disposeront d’un délai limité pour les retirer de tous les traitements et systèmes de gestion informatisés ou non. Qui plus est, les intéressés pourront exiger une traçabilité et la preuve des opérations relatives à ces suppressions. Le législateur, pour éviter toute dérive, a cependant indiqué que cette demande se devait d’être « légitime ».

C’est exactement ce que des éditeurs français comme Fœderis ont déjà mis en œuvre autour leur offre de Gestion des Talents en mode SaaS : des systèmes de sécurité qui vont bien au-delà de ce qu’habituellement les entreprises mettent en place pour elles-mêmes. Les logiciels de sécurité sont souvent doublés et tous les processus de supervision répondent à des exigences extrêmement poussées. Les dernières versions des logiciels directeurs sont automatiquement implémentées. Des robots scannent en permanence les systèmes pour déceler d’éventuelles tentatives d’intrusion.