Au cours de l'année dernière, des milliers d'articles ont été écrits et partagés concernant les nouveaux droits à la protection de la vie privée et les pénalités de jusqu'à 20 millions d'euros que les entreprises pourraient risquer en cas d'infraction. Mais au moment du compte à rebours final, le règlement général sur la protection des données (RGPD) reste un domaine mystérieux pour un pourcentage significatif d'entreprises et de parties prenantes. Nous avons établi des partenariats avec des clients pendant leur processus de mise en conformité avec le RGPD. Souvent, nous avons rencontré de fausses idées au sujet de la réglementation. Pour vous aider à comprendre les réalités des nouvelles lois sur la protection des données, nous avons démystifié dans cet article les mythes RGPD les plus populaires.
À l'approche de la date d'entrée en vigueur, un grand nombre d'entreprises se précipitera à la ligne d'arrivée afin de pouvoir se conformer. Pour d'autres, c'est la panique totale parce qu'elles n'ont pas réussi à se préparer à temps. En vérité, plus qu'une échéance, le 25 mai marque un nouveau départ. La complexité et la portée des changements organisationnels et culturels impliqués rendent quasiment impossible de tout préparer avant le 25 mai. En outre, être conforme ne signifie pas uniquement appliquer une solution universelle répondant à toutes les difficultés. Une fois les cases cochées dans leur liste de contrôle de conformité dans le cadre du RGPD, les entreprises ne pourront plus simplement l'ignorer.
Étant donné que le RGPD se concentre exclusivement sur les données personnelles des citoyens de l'UE, certaines entreprises ont été amenées à croire que si elles opéraient en dehors de l'Europe, elles ne seraient pas soumises à la nouvelle réglementation. Ce qui ne correspond pas à la réalité ! Tout en protégeant les droits des Européens dans le cadre de la vie privée, le RGPD a une portée « extra-territoriale ». Toute organisation traitant ou stockant les données personnelles des citoyens de l'UE sera couverte par son champ d'application, quel que soit l'endroit où elle est basée, qu'elle ait une filiale ou un bureau européen/européenne ou non. En d'autres termes, même les organisations basées aux États-Unis ou celles basées à Hong Kong, Singapour ou dans les pays du Moyen-Orient pourraient avoir besoin de mettre le RGPD dans leur liste de priorités.
Cela a probablement été le mythe le plus propagé dans le cadre du RGPD, en particulier parmi les experts en marketing. Le fait d'obtenir la permission de chaque personne afin de traiter ses données personnelles semble encore le seul moyen de se conformer pour un certain nombre de personnes. Mais est-ce vrai ? Bien que le RGPD ait placé la barre très haut quand il s'agit de consentement, il énumère encore une série de motifs juridiques alternatifs pour le traitement des données personnelles : intérêt légitime ou public, nécessité contractuelle, obligations légales et intérêts vitaux. Si la pertinence des messages marketing et le ciblage précis sont assurés, la plupart des activités de marketing peuvent continuer sur la base d'un intérêt légitime. En conclusion, même si un consentement clair et sans équivoque est un moyen d'assurer la conformité, il ne s'agit que d'une des nombreuses façons.
L'un des plus gros drapeaux levés sur le RGPD était lié aux 20 millions d'euros ou 4 % de chiffre d'affaires annuel de pénalités. Sans sous-estimer la puissance de ces sanctions, nous croyons que la non-conformité peut mener à d'autres résultats financiers négatifs. La violation de données peut, par exemple, nuire gravement à la crédibilité d'une organisation, entraînant la perte de clients et menant à un impact négatif sur le revenu final bien plus important.
Il est probable que les services juridiques seront les principaux moteurs de la conformité RGPD dans la plupart des entreprises en raison de la nature juridique de concepts tels que le consentement, l'accès et la portabilité des données. Cependant, le RGPD ne peut être considéré comme une simple préoccupation légale quand on considère l'étendue de son impact à travers l'informatique, les ressources humaines, les finances et le marketing. Le RGPD ne peut uniquement être la responsabilité d'un seul département, mais il faut en fait une stratégie combinée qui portera uniquement ses fruits si tout le monde coopère et intègre l'esprit de transparence dans ses activités quotidiennes.
Un grand nombre d'entreprises propose des « corrections RGPD » rapides et simples, mais croyez-moi : il n'existe aucun produit magique qui transformera votre organisation en s'adaptant au RGPD du jour au lendemain. La complexité des liens de données personnelles et des flux de travail d'informations dans toute entreprise rend impossible toute recherche d'une solution universelle qui rendra automatiquement tous vos processus conformes. Bien que vous puissiez obtenir de l'aide externe dans le cadre de votre processus de mise en conformité, il ne sera efficace que s'il est adapté aux spécificités et aux besoins de votre entreprise.
Ce nouveau personnage « en charge » introduit par le RGPD a également suscité de fausses idées. L'erreur la plus commune est le fait que chaque organisation doive nommer son propre délégué à la protection des données (DPD). Que dit le RGPD à ce sujet ? Un DPD n'est pas obligatoire sauf si votre organisation représente une autorité publique, ou si elle s'engage dans le traitement à grande échelle de données personnelles ou sensibles.
En résumé, il est clair que le RGPD introduit la révolution de la conformité pour la protection des données. Cependant, l'engouement actuel n'a pas facilité la transition vers le monde d'après l'entrée en vigueur du RGPD. La plupart des principes du RGPD sont des attentes raisonnables lorsqu'il s'agit de gérer les informations personnelles dans le monde numérique d'aujourd'hui. Mais si vous trouvez ce sujet un peu intimidant, n'hésitez pas à chercher de l'aide. Avec les bonnes ressources, vous pourrez mettre en œuvre un programme de conformité global dans chaque département de votre entreprise.