25 mai 2018

Entrée en vigueur du RGPD

Revue de l'article

Cet article est extrait de
Revue Banque n°821

Gafa & Banques : concurrents ou partenaires

Les chantiers de mise en conformité aux exigences du RGPD se sont accélérés à l’approche de l’échéance. L’accent a été mis sur certains points afin de pouvoir présenter un niveau de conformité minimum. Ces points portent principalement sur « la nomination et la mise en place de la fonction de Data Protection Officer, la réalisation de l’inventaire et la constitution du registre des traitements de données à caractère personnel et, pour les entreprises les plus avancées, le déploiement des mesures de protection pour les traitements considérés comme les plus sensibles » souligne Nicolas Vetriak, Associé chez Novaminds. La fonction de Data Protection Officer a dans la plupart des cas été positionnée au sein de la direction de la conformité, même si d’autres schémas ont parfois été retenus, au sein des fonctions juridiques, risques ou dans une fonction sécurité elle-même positionnée au sein de la direction de la conformité ou des risques [1].

Pour autant les travaux liés à la mise en conformité au RGPD vont se poursuivre dans les prochains mois, voire les prochaines années : par exemple, dans les grands établissements, le DPO devra organiser un réseau de correspondants, qu’il faudra faire monter en compétence, animer et assurer le contrôle de l’ensemble du dispositif de protection des données. À court terme aussi, « il faudra coordonner l’ensemble des acteurs qui interviennent sur la protection des données : comment répartir les rôles, les missions et les responsabilités entre le Data Protection Officer, le Chief Data Officer, le responsable sécurité et tout autre acteur impliqué sur la thématique de la donnée ? » ajoute Nicolas Vetriak.

D’autres aspects liés à la mise en conformité du système d’information restent à traiter, par exemple concernant la gestion des durées de conservation des données et des purges. De même, les processus pour gérer les droits des personnes (effacement, portabilité, opposition…) sont en cours de déploiement et évolueront sans doute, au fur et à mesure des demandes d’exercice des droits effectuées depuis la mise en application du règlement. Viendront ensuite la mise en place des mesures complémentaires pour la protection des données, qui devront couvrir non seulement les données structurées, mais aussi les données non structurées, voire non informatisées, problématique qui, dans la plupart des entreprises, n’a pas encore été traitée à ce stade.

Enfin, il reste aussi beaucoup à faire sur des sujets qui ne sont pas les plus complexes mais chronophages comme la mise en conformité des contrats avec les fournisseurs, les clients, et les employés.

Le chemin vers la conformité s’annonce encore long…

 

[1] Lire aussi à ce sujet l’article de Nicolas Vetriak, Gaël Duval (Novaminds), Cédric Frenel (Courtois Lebel), « Mise en conformité au RGPD : l’état d’avancement des établissements financiers », Revue Banque n° 819, avril 2018, p. 78 : http://www.revue-banque.fr/management-fonctions-supports/article/mise-en-conformite-au-rgpd-etat-avancement-des-eta.

 

Sur le même sujet