Plus qu'un simple projet de mise en conformité, le RGPD se révèle avoir un réel impact sur l'organisation de l'entreprise. Illustration avec trois expériences françaises.
A quelques semaines de l'entrée en vigueur du Règlement général sur la protection des données (RGPD), les Rencontres Business du Monde du Droit qui se sont tenues à Paris le 29 mars 2018, proposaient un atelier dédié à cet enjeu majeur pour les entreprises.
Annabelle Richard, associée au sein du cabinet d'avocats Pinsent Masons, s'est chargée de recueillir les expériences de trois entreprises très différentes. L'occasion d'échanger, de commenter voire de critiquer… Car si le RGPD s'appliquera à tout type d'organisation à compter du 25 mai 2018, chaque expérience est unique.
Un projet pluridisciplinaire qui implique de repenser la communication interne
Ainsi, pour Marie Even, Directrice Juridique chez Cdiscount, le projet RGPD a pris place dans une culture de l'entreprise basée sur la confiance. La pluridisciplinarité inhérente à ce projet s'est traduite par la création d'un pôle projet au sein de la direction juridique, avec la création de binômes juristes-techniciens.
Malgré la persistance à ce jour de « zones d'incertitude », Marie Even met l'accent sur la nécessité de s'inscrire dans un chemin de mise en conformité. L'important selon elle est de se fonder sur l'esprit du Règlement et d'avoir a minima un plan de mise en conformité pour l'échéance du 25 mai.
… et de dialoguer avec la Cnil
Marie Even conseille le cas échéant de ne pas hésiter à interpeller la Cnil, y compris sur des sujets dont la Commission n'aurait pas connaissance. Elle a notamment relevé que l'obligation de consentement exprès des utilisateurs prévue par les délibérations de la Cnil est difficilement compatible avec la fluidité de la technique et que permettent les dispositions du RGPD.
Anne-Cécile Colas, Data Protection Officer chez Sodexo, a également pu remarquer que « la Cnil a parfois des positions dogmatiques et ne donne pas beaucoup la main aux entreprises. »
Au sein de cette multinationale qui a adopté une « culture de service et de confiance », le projet RGPD a débuté par une sensibilisation en interne qui a permis à chacun de s'approprier le Règlement et les recommandations de l'entreprise. L'objectif est, au moyen de la mise en place d'une réelle « gouvernance de la donnée », qu'à terme l'entreprise soit autonome sur ce point, sans dépendre de la direction juridique. Ainsi, il est crucial pour Anne-Cécile Colas de « ne pas travailler en silo » et de savoir « cascader » les informations.
Si Sodexo a axé ce programme de conformité comme un « atout business », il n'en est pas de même au sein de Match Group (responsable notamment du site Meetic), où le RGPD est considéré comme « de la compliance pure » et ne permettra pas de « retour sur investissement » selon Idriss Kechida, son Head of Privacy.
Adaptation… et réadaptation
Dans cette entreprise où l'enjeu technologique est majeur, si le RGPD a apporté un cadre, il s'agit, au-delà de la règlementation, de « prendre en compte le point de vue des utilisateurs. »
Le Règlement étant relativement imprécis, puisque s'appliquant à tout type d'organisation, sa mise en œuvre implique forcément « de l'interprétation », difficulté à laquelle s'est ajoutée la nécessité de « réadapter la cible en permanence en fonction des guidelines ». D'où un dialogue permanent avec les équipes techniques.
L'ambition d'Idriss Kechida est de « réconcilier le temps de la technologie et le temps nécessaire à la mise en conformité ». Ce qui s'apparente selon lui à un « travail d'ingénieur » implique de savoir « hiérarchiser les choses », même si « certaines actions peuvent être menées de front. »
A la lumière de ces trois expériences en cours, s'imposent le caractère pluridisciplinaire de ce « projet d'entreprise majeur », la nécessité de l'adapter à la culture d'entreprise et de contrôler régulièrement les actions menées… jusqu'au 25 mai mais bien au-delà.
Pascale Breton