GDPR : conséquences pour les systèmes d'information | CELGE

GDPR : conséquences pour les systèmes d’information

GDPR : GDPR : conséquences pour les systèmes informatiques


Dans quelques mois, la nouvelle  législation européenne GDPR – General Data Protection Regulation – entrera en vigueur. Ce règlement remplacera l’actuelle Directive sur la protection des données personnelles adoptée en 1995. Si ces nouvelles dispositions conduisent à un consensus, c’est pour une raison : en France, elles fixent un cadre plus strict que les actuelles dispositions préconisées par la CNIL. L’orientation de cette disposition légale est tournée vers la protection des individus. C’est donc aux entreprises de s’adapter et de modifier en profondeur leur processus de traitement de données, de la collecte à leur exploitation.

Quelles sont les entreprises concernées ?

Les entreprises devront se conformer à la GDPR, quel que soit leur type de structure ou leur secteur d’activité, du moment qu’elles ont à traiter des informations personnelles. A l’heure de la transformation numérique, cela concerne pratiquement toutes les entreprises, publiques ou privées, opérant sur le territoire européen. Mais le dispositif va plus loin, puisqu’il vise à s’appliquer également aux entreprises situées en dehors de l’Union Européenne (mais qui interagissent avec ses ressortissants).

Quelles sont les données concernées ?

Les nouvelles dispositions concernent les données se rapportant aux citoyens de l’Union Européenne sans autre distinction. Le texte apporte néanmoins des nuances sur le type de données concerné.

Données « personnelles »

Dans le contexte du Big Data, la quantité de données traitées par les entreprises est en augmentation constante. Celles pouvant se rapporter à des individus peuvent être de formes et de natures très variées. Alors qu’est-ce qui constitue des données dites « personnelles » ? Et bien c’est assez simple : il s’agit d’un ensemble d‘informations qui permettent d’identifier à coup sûr une personne en particulier, parmi un groupe d’individus.

Données « sensibles »

Les données qualifiées de « sensibles », outre leur nature particulière, sont celles qui pourrait permettre un « profilage » des individus contraire à leurs intérêts. Une disposition du texte stipule en effet que toute personne a le droit de ne pas subir de décision fondée sur un traitement automatique des données qui pourrait l’affecter de manière juridique ou significative. Ces données sensibles sont :

  • les données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques ou religieuses, ou encore l’appartenance à un groupe de pensée.
  • les données concernant la santé : médicales, génétiques, biométriques, etc.
  • les données d’infractions ou de condamnation pénale,
  • toutes les données concernant des personnes mineures.

Si votre activité traite des données de ce type, une vigilance particulière doit être mise en place.

Quels changements pour mon entreprise ?

Première nouveauté : la désignation d’un Délégué à la Protection des DonnéesDPO – qui encadre la mise en application de la nouvelle directive. Il fait office de référent au sein de l’entreprise et est l’interlocuteur privilégié pour les organismes de contrôle.

Les traitements et processus internes doivent faire l’objet d’une nouvelle organisation structurée et transparente. Chaque étape du traitement des données doit obéir à des protocoles définis en amont et chaque étape doit être motivée, justifiée et explicitée. Dans la majorité des cas, le traitement des données ne subira pas de modification profonde.  En revanche, ceux-ci devront être cartographiés et leurs objectifs clairement définis, et surtout rédigés dans un document de référence. L’ensemble des processus est concerné, y compris les interventions de prestataires externes. C’est à l’entreprise de s’assurer que ses sous-traitants ou partenaires se conforment aux nouvelles dispositions.

Les modalités de conservation doivent elles aussi être encadrées définies et justifiée. Une attention toute particulière est apportée à leur sécurisation, sur les modalités, les conditions et durée de conservation des données. Les flux, en particulier ceux qui concernent les échanges avec des pays situés en dehors de l’Union Européenne, doivent eux-aussi être consignés. En cas de compromission des données, l’entreprise devra en informer les autorités dans les 72 heures. Par ailleurs, l’exercice du droit à l’oubli doit être pris en compte dans les traitements.

Quels changements pour les outils informatiques ?

D’un point de vue logiciel et matériel, les changements éventuels sembles plutôt mineurs pour le traitement global des données. Les modifications profondes concernent surtout le recueil et la conservation/sécurisation des données.

Votre organisation devra être en mesure de justifier de l’accord préalable d’une personne – le opt-in –  au recueil des données la concernant. Ensuite, les modalités de conservation des données devront se faire par le biais de solutions cryptées et hyper-sécurisées en interne ou dans un datacenter : un véritable coffre-fort électronique. Les entreprises auront l’obligation de veiller à l’intégrité de ce dernier. Les questions de sécurisation seront sans conteste le point crucial de la mise en conformité des organisations. Plusieurs niveaux de supervision et de contrôle devront être renforcés sur le plan logiciel : dans un environnement connecté en permanence la surveillance doit être constante.

Les éditeurs de solutions ont déjà intégré ces questions et des mises à jour sont prévues en conséquences. Néanmoins de plus en plus de sociétés font appel à des auditeurs et cabinets de conseil afin d’anticiper leur besoins, notamment pour les questions liées à la sécurité des données. Si la majorité des technologies de cryptage et de sécurisation des informations existe déjà, leur implémentation dans les systèmes et processus métiers en place constitue dès à présent un défi pour bien des DSI. Tout ou partie d’un ERP par exemple, doit s’adapter à ces nouvelles contraintes.

La tâche la plus ardue imposée par la GDPR semble échoir aux DRH qui par définition ont à traiter un nombre conséquent de données personnelles. Les solutions SIRH en place devront donc être mises en conformité.  Une première installation SIRH devra bien entendu tenir compte de ces nouveaux enjeux.

Lire aussi : « De plus en plus d’entreprises adeptes des logiciels SIRH« 

Viennent ensuite les services client et/ou marketing qui sont en première ligne pour la collecte d’informations personnelles. Ces opérationnels vont devoir  être formés aux évolutions de leurs outils métiers. De plus, ils vont devoir intégrer les conséquences liées à la conservation limitée dans le temps des données récoltées et à leur anonymisation une fois archivées.

Lire aussi : « Comparer les logiciels CRM« 

Si vous êtes amené à changer de progiciel, notre comparateur en ligne gratuit vous permet d’identifier la solution qui correspond le mieux à votre structure, en moins de cinq minutes.


Crédit photo : © Celge

Dès maintenant,

Comparez les prestataires qui peuvent vous accompagner

dans la mise en conformité RGPD

Découvrez nos pages sur les mêmes thématiques :

Comme plus de 20 000 personnes par mois,appuyez-vous sur notre expertise en consultant :