AC : La mise en conformité est l’objectif du projet RGPD. Elle désigne toutes les actions et les initiatives prises par l’entreprise pour adapter son organisation et sa gestion des données personnelles aux nouvelles exigences du règlement européen. Ce qui nécessite un gros travail car tous les process liés au traitement des données sont impactés, de la collecte à l’utilisation en passant par le stockage.
La CNIL propose sur son site internet une démarche standard en 6 étapes : la désignation du DPO (Data protection officer), la cartographie des traitements, la priorisation des chantiers d’action, l’identification des traitements à risque, la mise en œuvre du plan d’actions et la documentation. Il s’agit d’une démarche très générale. Dans les faits, chaque démarche est spécifique et doit s’adapter à la taille de l’entreprise, à ses ressources, à son organisation, au secteur d’activité (plus ou moins réglementé), etc.
Ce qu’il faut souligner aussi, c’est que le RGPD opère un vrai changement de paradigme. Jusqu’à présent, les entreprises traitant des données personnelles devaient faire une déclaration préalable à la CNIL. L’autorité de contrôle pouvait vérifier en amont la conformité des traitements. Avec le RGPD, le système de déclaration préalable disparaît complètement du paysage. Il est remplacé par des contrôles a posteriori. D’où l’importance de la documentation et du registre des traitements qui permettront à l’entreprise de prouver sa conformité en cas de contrôle. L’idée derrière ce règlement est de responsabiliser les entreprises. Celles-ci deviennent responsables des outils et des pratiques déployés en interne pour organiser le traitement des données personnelles. Une démarche de mise en conformité passe certes par le déploiement d’actions concrètes mais nécessite aussi l’adoption d’un nouvel état d’esprit, la mise en place de nouvelles habitudes plus respectueuses du client.