RGPD : pas de panique !

Le 25 mai entre en vigueur le règlement général pour la protection des données (RGPD), qui remplace la loi « Informatique et libertés  ». Pas de grand bouleversement, juste une mise à plat de la gestion des données personnelles utilisées par les entreprises. Et surtout un devoir d'information auprès de son propriétaire : salarié, client, sous-traitant,… Décryptage.

RGPD. Quatre lettres et déjà tellement d'encre. Car même si le règlement général pour la protection des données, qui entre en vigueur vendredi 25 mai, a été pensé pour les géants du web (les « GAFA » pour Google, Apple, Facebook et Amazon), il touche toutes les entreprises. Le RGPD remplace la loi « Informatique et libertés », en vigueur depuis 1978, et « accroît sensiblement les droits des citoyens en leur donnant plus de maîtrise sur leurs données » selon la Cnil (Commission nationale de l'informatique et des libertés). Objectif : responsabiliser les professionnels. « Comme toute entreprise, les coopératives sont concernées par ce règlement : elles ne peuvent pas l'ignorer », avertit Marine Nossereau, directrice juridique à Coop de France. Même écho à la fédération du négoce agricole (FNA), qui accompagne ses adhérents depuis près d'un an dans leur mise en conformité. Même si cela peut s'avérer, dans les faits, assez fastidieux, services juridiques, responsables RH et acteur de la data s'accordent à dire qu'il ne faut pas paniquer. 

Être avant tout de bonne volonté !

La directrice de la Cnil, Isabelle Falque-Pierrotin le précise : le 25 mai n'est pas une date couperet ! « Il ne s'agit pas d'appliquer, à compter de cette date, des sanctions : c'est un objectif de moyens mis en œuvre, confirme Marie Vallon, directrice juridique à la FNA. L'important est de montrer sa bonne volonté. » Celle-ci est assez simple : connaître les données personnelles que l'entreprise détient, informer les propriétaires sur l'utilisation qui en est faite, sécuriser les flux et le stockage de ces informations. 

Élargissement de la portabilité aux données personnelles

Selon la Cnil, est considérée comme une donnée personnelle, toute information identifiant directement ou indirectement une personne physique. « La vraie nouveauté apportée par le RGPD est l'élargissement de la portabilité aux informations personnelles », analyse Marie Vallon. À tout moment, l'entreprise doit être en capacité de rendre les données à son propriétaire : salarié, client, sous-traitant,… Mais pas toutes, heureusement. « La portabilité concerne uniquement les données recueillies directement auprès de la personne, précise Marine Nossereau. En revanche, les données générées par la coopérative elle-même ne sont pas visées. »

Un consentement déjà contractuel, pour l'essentiel

La question du consentement est centrale dans le RGPD, mais très limitée en BtoB. Pour les adhérents des coopératives, l'essentiel des traitements d'informations résultent de la fonction statutaire, et sont donc contractuels. « Ce sont les utilisations complémentaires qui vont nécessiter de recueillir un consentement : communication, campagne d'e-mailing,… », complète Marine Nossereau. Idem pour les clients et sous-traitants, pour lesquels il est nécessaire de modifier les conditions générales de vente, afin d'informer sur les utilisations des données. Pour les acteurs de la data en revanche, le consentement est au cœur de la relation. « Nous améliorons la transparence de nos technologies : l'utilisateur pourra cocher et décocher chaque utilisation, explique Didier Robert, directeur général adjoint de Smag. À l'automne, tous nos produits seront « privacy by design ». » Ce terme garantit la protection de la vie privée de l'utilisateur, dès la conception des nouvelles applications technologiques et commerciales.

Le devoir d'informer

Vidéosurveillance, badge, géolocalisation des chauffeurs,… La RGPD, gros dossier pour les ressources humaines ? « C'est avant tout une question de transparence, qui oblige l'entreprise à mieux communiquer », résume Olivier Claux, directeur associé chez MG Consultants. Le devoir d'information est au cœur du règlement. « Répertorier les flux et informer les salariés sur les possibilités de corriger les données, détaille Cyrille Pierre, directeur des ressources humaines du groupe Acolyance (51). Nous le faisions déjà mais ce n'était pas formalisé. En clair, nous rajoutons des lignes sur les documents. » Pour faciliter ce travail, un délégué à la protection des données à été désigné. « Chaque coopérative est libre de son choix, en fonction de l'ampleur ou de la nature de ses traitements », précise Marine Nossereau. 

Sécuriser les données

Après avoir répertorié et informé, le dernier point réglementaire concerne la protection. « À partir du moment où vous traitez des données, vous devez être au top de la sécurité », résume Didier Robert. Le coût de la mise en sécurité devient ainsi récurrent pour l'entreprise. Pour être à la pointe, les serveurs externes et les solutions à distance (cloud) peuvent être des solutions sécurisantes par rapport à un disque dur dans un ordinateur de bureau… À condition bien sûr de ne pas laisser le mot de passe sur un post-it ! 

RGPD. Quatre lettres pour une plus grande responsabilité dans la gestion et la protection des données.