Bonne nouvelle : pour plus d’un tiers des répondants (37%), la mise en œuvre est déjà bien avancée. Nous vous invitons à lire les résultats ainsi que les commentaires de Garance Mathias, avocate au Barreau de Paris qui nous a accompagnés pour mener à bien cette enquête. Et nous remercions tous les participants.
Question 1 : Avez-vous commencé votre mise en conformité au RGPD ?
Cela correspond à ce que nous constatons habituellement. Après tout, la protection des données n’est pas un domaine nouveau qui existe depuis 1978.
Question 2 : Quelle a été votre première action dans le cadre de la mise en conformité du RGPD ?
Attention, contrairement à une idée assez répandue, l’opération consistant à cartographier les traitements au sein d’une entité n’implique pas seulement des experts techniques. Dès l’étape de la cartographie, c’est une véritable task force qu’il faut mettre en place composée d’une équipe pluridisciplinaire. Des compétences informatiques et juridiques sont nécessaires et tous les métiers doivent être impliqués. Quelles sont les durées de conservation ? Quelle est la base juridique du traitement des données à caractère personnel ? Les relations avec les prestataires sont-elles contractuellement encadrées ? Le contrat satisfait-il aux exigences du RGPD ? Qu’en est-il des transferts ?
Question 3 : Quelles sont les mesures de sécurité mises en œuvre dans votre entité ?
La mise en œuvre de mesures de sécurité semble bien appréhendée, ce qui est une très bonne nouvelle. En revanche, à mon sens, c’est indissociable de l’application du principe d’accountability. En d’autres termes, une restriction technique à l’accès aux données c’est bien. Quand ces mesures techniques sont documentées et fixées dans une procédure interne à laquelle se référer ou dans un contrat avec son sous-traitant, c’est mieux.
Question 4 : Quelles informations sont disponibles à la personne concernée par le RGPD ?
A mon sens, des mentions d’information conformes au RGPD – et donc complètes – participent à la crédibilité de l’entité. Toute la conformité RGPD y participe mais les mentions d’informations sont quand même dans la partie visible de l’iceberg.
Question 5 : A quel niveau de mise en conformité RGPD vous situez vous ?
Il est important de garder à l’esprit que la mise en conformité est un processus continu. C’est un effort quotidien.
