Le RGPD va refondre nos organisations et décupler notre intelligence collective

Le data protection officer (DPO)

Le Règlement Général sur la Protection des Données entre en vigueur le 25 mai prochain. Il s’agit d’une mise à niveau règlementaire des usages en matière de gestion des données personnelles. Etape déterminante en faveur de la généralisation de l’intelligence collective, il va générer une importante refonte organique des responsabilités internes au sein des entreprises et faire émerger un nouveau profil incontournable, le data protection officer (DPO).

 

Une chance pour tous ceux qui souhaitent ou s’investissent déjà dans les data

L’une des modalités phares du RGPD est l’avènement du DPO, le délégué à la protection des données. Obligatoire dans certaines organisation seulement, telles que les autorités publiques ou les organismes traitant des données à grande échelle, les entreprises auront néanmoins intérêt à recourir à ses services au plus tôt.

Membre du personnel ou prestataire, le DPO doit être indépendant des opérations. S’il peut être d’origine informatique ou marketing doté de connaissances pointues sur les données personnelles, il doit avoir une expérience juridique. Pivot au sein de l’entreprise, il conseille et contrôle le dispositif et fait le lien entre la CNIL et les utilisateurs.


Un impact simultané et massif du RGDP sur le triptyque marketing informatique juridique

Pour les équipes marketing, la nature des données recueillies est systématiquement à encadrer, tout comme le consentement des internautes et la surveillance de l’adéquation entre leurs souhaits et la réalité des traitements. L’accessibilité de ces personnes à leurs données personnelles leur est garantie.

Pour les équipes informatiques, un programme de gestion des risques inhérents à l’intégrité des données est mis en oeuvre. Il impact le data management, en particulier les processus d’anonymisation et de pseudonymisation. Bien qu’optionnelle, sauf dans dans les cas de traitements automatisés à grande échelle, des études d’impact sur la vie privée (EIVP) sont nécessaires et les droits à l’oubli et d’opposition à garantir.

Pour les équipes juridiques, un système de contrôle doit être mis à disposition de la CNIL. Tous les acteurs traitant les donnée sont à mobiliser, tant en interne qu’en externe, donneurs d’ordres comme sous traitants. En cas de requête officielle, le délai maximum à respecter est de 72 h, sinon de lourdes sanctions, jusqu’à 20 M€ ou 4% du CA, calculées selon la gravité de la violation, la durée, ou encore le degré de coopération avec les autorités de contrôle.

 

 

Une stratégie data prédominante favorable à l’architecture d’une intelligence collective dédiée

Depuis l’absence d’accessibilité à la fin des année 90, les enjeux liés aux data dans les entreprises sont successivement passés d’une prise de conscience et d’une hiérarchisation au début des années 2000, à une massification et une exploitation agrégée avant 2010, puis à son management systématique et à une exploitation individualisée aujourd’hui.

A partir du 25 mai prochain, c’est une collaboration transversale obligatoire et impérieuse pour toutes les organisations à laquelle nous aurons à faire. Les avantages et bénéfices à tirer de ce règlement existent toutefois. Ils relèvent certes de la transparence pour le consommateur final, mais aussi d’une circulation de l’information valorisée par l’émergence d’une nouvelle intelligence collective, source d’une accélération de l’innovation.



***

Désigner un pilote, le data protection officer (DPO)
Cartographier les données personnelles
Prioriser les actions à mettre en oeuvre
(Ré) Organiser le processus interne de traitement des données
Documenter la mise en conformité et son accessibilité.