Le RGPD, un nouvel outil de qualité ?

Par Konstantin KOSTOV

Consultant Juriste RGPD

Le RGPD est applicable depuis le 25 mai 2018. Avant son entrée en vigueur, les acteurs du secteur public et privé le voyaient comme un obstacle, une barrière, visant à limiter chaque activité liée au traitement des données à caractère personnel. Cette vision du RGPD est toujours d’actualité. Pourtant, n’est-il pas aussi possible de percevoir le RGPD comme un outil d’amélioration de la qualité ? En effet, exploiter les données à caractère personnel, l’or noir du XXIème siècle, tout en respectant le Règlement, pourrait constituer un avantage concurrentiel indéniable.

Le RGPD – un avantage concurrentiel

De nos jours, il est extrêmement difficile de gagner la confiance des clients et de se démarquer de la concurrence. Or, si une organisation est en capacité de démontrer qu’elle effectue des traitements conformes des données personnelles qui sont sous sa responsabilité, elle pourra alors bénéficier d’un vrai avantage compétitif. Dans le contexte actuel, après de nombreux scandales, notamment l’affaire Facebook et Cambridge Analytica, la bonne gestion des données à caractère personnel est devenue primordiale.

Les bonnes données et les bons délais

Toute organisation doit déterminer en amont les finalités de la collecte des données à caractère personnel. Affiner les processus de collecte et de tri et recourir aux traitements des données strictement nécessaires sont des obligations légales imposées par le RGPD. De nos jours, le volume de données stockées ne cesse de croître, entre autres, en raison de la baisse constante du prix du téraoctet (terabyte), de l’évolution des technologies et de leur capacité de stockage. Minimiser l’utilisation des données à caractère personnel et respecter les délais de conservation permet une bonne gestion des bases de données pour les organismes et offre la possibilité à ces derniers de démontrer qu’ils maîtrisent les données tout en prenant soin de collecter uniquement celles qui sont indispensables.

Une sécurité proportionnelle aux risques

Le RGPD impose à chaque organisation traitant des données à caractère personnel d’adopter et de mettre en œuvre des mesures de sécurité appropriées pour protéger les données à caractère personnel. Il s’agit de mesures de sécurité logiques et physiques pour les équipements informatiques et les documents papier. Il est judicieux d’appliquer les mesures en fonction du niveau de risque, calculé à la suite des analyses effectuées. Cependant, beaucoup de produits sur le marché sont lancés avec des mesures de sécurité minimales en raison d’un budget restreint ou de la volonté et de la nécessité de l’entreprise de se positionner comme précurseur sur son marché. Or, lorsque le niveau de risque est très élevé des analyses de risque doivent être effectuées régulièrement afin de permettre le maintien d’un niveau de sécurité adéquat.

En outre, la question de la sécurité juridique des données doit également être prise en compte par les contrats de sous-traitance. Dans cette optique, et pour assurer une coopération saine et productive entre les partenaires et les sous-traitants, les contrats doivent contenir une clause de protection des données à caractère personnel. De manière contractuelle, le sous-traitant doit s’engager à garantir la sécurité des données, à respecter la confidentialité et la disponibilité de ces dernières, à permettre la réalisation d’audits éventuels et à démontrer qu’il respecte ses obligations.

La protection des données dès la conception

Le non-respect du Privacy by Design et du Privacy by Default pourrait avoir des conséquences importantes telles que le vol de données, la perte de parts de marché, des poursuites judiciaires et surtout une détérioration de l’image et de la réputation de l’organisme. Chaque produit ou service doit prendre en considération la protection des données à caractère personnel dès sa conception et tout au long du cycle de vie du produit, en appliquant la minimisation des données et le plus haut niveau de sécurité par défaut. En effet, l’équipe qui gère le projet doit toujours intégrer la protection des données par défaut et dès la conception du produit. Ainsi, l’organisation pourra éviter de se retrouver dans la situation déjà susmentionnée où le produit est lancé avec très peu, voire sans mesures de sécurité suffisantes.

Les avantages de l’implémentation du Privacy by Design et du Privacy by Default sont intéressants, parce que l’application de ces deux principes permet une réduction des coûts de développement et des dépenses, surtout à moyen et long terme, et une réduction des risques que le produit lui-même contient. En proposant une sécurité adéquate et une amélioration de la qualité en continu, un tel produit sera très compétitif, parce que les utilisateurs sont de plus en plus exigeants et que leur expérience devient de plus en plus un facteur décisif pour le succès d’un produit.

Pour les organismes qui souhaitent proposer des produits et/ou services innovants, compétitifs et fortement personnalisés,  une réflexion par rapport à la manière d’organiser les traitements des données à caractère personnel est à prendre en compte dès le départ. Le respect des principes et des normes du Règlement 2016/679 représente un avantage certain pour les organisations qui s’inscrivent ainsi dans une démarche d’amélioration continue. Dans le but de mieux gérer la transition vers des processus qui prennent en compte les exigences du RGPD il vaut mieux entreprendre ce Règlement comme une démarche qualité obligatoire et non comme une contrainte légale, présentant uniquement des obstacles. Un tel positionnement permet une adaptation plus rapide tout en évitant les réticences des salariés amenés à appliquer de nouvelles règles. L’application de mesures qualitatives et sécuritaires, représente par ailleurs une garantie pour les utilisateurs et leur vie privée. C’est un vecteur de confiance qui permet la pérennité des organismes.


accueil Blog Actu-CIL