Le RGPD, un nouvel outil de qualité ?

Par Konstantin KOSTOV

Consultant Juriste RGPD

Le RGPD est applicable depuis le 25 mai 2018. Avant son entrée en vigueur, les acteurs du secteur public et privé le voyaient comme un obstacle, une barrière, visant à limiter chaque activité liée au traitement des données à caractère personnel. Cette vision du RGPD est toujours d’actualité. Pourtant, n’est-il pas aussi possible de percevoir le RGPD comme un outil d’amélioration de la qualité ? En effet, exploiter les données à caractère personnel, l’or noir du XXIème siècle, tout en respectant le Règlement, pourrait constituer un avantage concurrentiel indéniable.

Le RGPD – un avantage concurrentiel

De nos jours, il est extrêmement difficile de
gagner la confiance des clients et de se démarquer de la concurrence. Or, si
une organisation est en capacité de démontrer qu’elle effectue des traitements
conformes des données personnelles qui sont sous sa responsabilité, elle pourra
alors bénéficier d’un vrai avantage compétitif. Dans le contexte actuel, après
de nombreux scandales, notamment l’affaire Facebook et Cambridge Analytica, la
bonne gestion des données à caractère personnel est devenue primordiale.

Les bonnes données et les bons délais

Toute organisation doit déterminer en amont
les finalités de la collecte des données à caractère personnel. Affiner les
processus de collecte et de tri et recourir aux traitements des données
strictement nécessaires sont des obligations légales imposées par le RGPD. De
nos jours, le volume de données stockées ne cesse de croître, entre autres, en
raison de la baisse constante du prix du téraoctet (terabyte), de l’évolution
des technologies et de leur capacité de stockage. Minimiser l’utilisation des
données à caractère personnel et respecter les délais de conservation permet
une bonne gestion des bases de données pour les organismes et offre la
possibilité à ces derniers de démontrer qu’ils maîtrisent les données tout en prenant
soin de collecter uniquement celles qui sont indispensables.

Une sécurité proportionnelle aux risques

Le RGPD impose à chaque organisation traitant
des données à caractère personnel d’adopter et de mettre en œuvre des mesures
de sécurité appropriées pour protéger les données à caractère personnel. Il
s’agit de mesures de sécurité logiques et physiques pour les équipements
informatiques et les documents papier. Il est judicieux d’appliquer les mesures
en fonction du niveau de risque, calculé à la suite des analyses effectuées. Cependant,
beaucoup de produits sur le marché sont lancés avec des mesures de sécurité
minimales en raison d’un budget restreint ou de la volonté et de la nécessité
de l’entreprise de se positionner comme précurseur sur son marché. Or, lorsque
le niveau de risque est très élevé des analyses de risque doivent être
effectuées régulièrement afin de permettre le maintien d’un niveau de sécurité
adéquat.

En outre, la question de la sécurité
juridique des données doit également être prise en compte par les contrats de
sous-traitance. Dans cette optique, et pour assurer une coopération saine et
productive entre les partenaires et les sous-traitants, les contrats doivent contenir
une clause de protection des données à caractère personnel. De manière contractuelle,
le sous-traitant doit s’engager à garantir la sécurité des données, à respecter
la confidentialité et la disponibilité de ces dernières, à permettre la
réalisation d’audits éventuels et à démontrer qu’il respecte ses obligations.

La protection des données dès la conception

Le non-respect du Privacy by Design et du Privacy by Default pourrait avoir des conséquences importantes telles que le vol de données, la perte de parts de marché, des poursuites judiciaires et surtout une détérioration de l’image et de la réputation de l’organisme. Chaque produit ou service doit prendre en considération la protection des données à caractère personnel dès sa conception et tout au long du cycle de vie du produit, en appliquant la minimisation des données et le plus haut niveau de sécurité par défaut. En effet, l’équipe qui gère le projet doit toujours intégrer la protection des données par défaut et dès la conception du produit. Ainsi, l’organisation pourra éviter de se retrouver dans la situation déjà susmentionnée où le produit est lancé avec très peu, voire sans mesures de sécurité suffisantes.

Les avantages de l’implémentation du Privacy by Design et du Privacy by Default sont intéressants, parce que l’application de ces deux principes permet une réduction des coûts de développement et des dépenses, surtout à moyen et long terme, et une réduction des risques que le produit lui-même contient. En proposant une sécurité adéquate et une amélioration de la qualité en continu, un tel produit sera très compétitif, parce que les utilisateurs sont de plus en plus exigeants et que leur expérience devient de plus en plus un facteur décisif pour le succès d’un produit.

Pour les organismes qui souhaitent proposer des produits et/ou services innovants, compétitifs et fortement personnalisés,  une réflexion par rapport à la manière d’organiser les traitements des données à caractère personnel est à prendre en compte dès le départ. Le respect des principes et des normes du Règlement 2016/679 représente un avantage certain pour les organisations qui s’inscrivent ainsi dans une démarche d’amélioration continue. Dans le but de mieux gérer la transition vers des processus qui prennent en compte les exigences du RGPD il vaut mieux entreprendre ce Règlement comme une démarche qualité obligatoire et non comme une contrainte légale, présentant uniquement des obstacles. Un tel positionnement permet une adaptation plus rapide tout en évitant les réticences des salariés amenés à appliquer de nouvelles règles. L’application de mesures qualitatives et sécuritaires, représente par ailleurs une garantie pour les utilisateurs et leur vie privée. C’est un vecteur de confiance qui permet la pérennité des organismes.


Actualité du Groupe


10 mai 2019 : L’outil APM dévoile toutes ses fonctionnalités lors du Congrès : “Compliance & Technologie” de l’IRC
10 avril 2019 : La Minute RGPD : Le registre du traitement
10 avril 2019 : MEET’UP RGPD À TOULOUSE : ENCORE QUELQUES PLACES DISPONIBLES !
10 avril 2019 : NOUVELLE FORMATION E-LEARNING : LES BAILLEURS SOCIAUX ET LE RGPD
10 avril 2019 : LE 23 AVRIL : ACTECIL NOUVELLE-CALÉDONIE VOUS INVITE À UN PETIT DÉJEUNER RGPD GRATUIT
10 avril 2019 : RGPD & MARKETING : OPT-IN, OPT-OUT, DOUBLE OPT-IN : QUAND LES UTILISER ?
10 avril 2019 : Le danger des fichiers Excel dans la gestion des Ressources Humaines
13 mars 2019 : La Minute RGPD : La certification des compétences du DPO
13 mars 2019 : L’HÉBERGEMENT DES DONNÉES DE SANTE (HDS)
13 mars 2019 : PROFITER DU BREXIT POUR RAPPELER LES RÈGLES LIÉES AUX FLUX HORS UE
accueil Blog Actu-CIL