Nombre d’entre nous ont sué à grosses gouttes au tic-tac du compte à rebours RGPD. 4 mois après l’entrée en application du règlement, rapide retour sur les principaux comportements que nous avons pu constater.

« Le RGPD c’est comme le bug de l’an 2000. Dans 6 mois plus personne n’en parlera je vous dis ! De toute façon je ne vends mon logiciel qu’à des professionnels et en interne je n’ai pas de données sensibles sauf au niveau de la paie. »

Adrienne KepouraL’insouciante

Le mot du Dataï-Lama : Le respect du RGPD ne doit pas être motivé par les risques encourus mais pas le désir de respecter les personnes et travailler avec elles dans un climat de confiance.

Le mot de Maître Yodata : Voir plus long que le bout de son nez il faut. Personnelles peuvent être les données traitées par vos clients avec votre outil. Si que les professionnels vous croyez que le RGPD ne concerne, et que sensibles sont les données présentes sur un bulletin de paie, alors rien compris vous n’avez !

« J’ai décidé de suivre une formation DPO pour m’occuper du sujet en interne. C’est juste impossible ce RGPD, on en a pour 10 ans ! Je ne sais pas par où commencer, c’est une catastrophe. Je vais attendre que mon Groupe nous redescende de l’information sans quoi je vais aller dans le mur ! »

Agathe Zeublouse La désabusée

Le mot du Dataï-Lama : « Patience et longueur de temps font plus que force ni que rage. Comme Rome, votre conformité RGPD ne se fera pas en un jour. »

Le mot de Maître Yodata : « Au loto les gagnants tous un jour ont joué. Pour votre conformité RGPD de même il en ira. Vous lancer il faut ! »

« J’ai fait rédiger une politique de protection des données pour le site internet et un courrier rassurant pour mes clients. Point barre. Et alors ? De toute façon tout le monde n’y verra que du feu puis nous sommes loin d’être les pires en la matière »

Eléonor Marolex La superficielle

Le mot du Dataï-Lama : On voit la paille dans l’œil de son voisin, mais pas la poutre dans le sien.

Le mot de Maître Yodata : Tous pendant un temps vous pourrez berner. Mais tantôt en pleine face le retour de bâton vous prendrez !

« Je ne comprends pas, j’ai acheté le progiciel de Burt Hatartynn pour me mettre en conformité mais je viens de recevoir une mise en demeure de la CNIL. J’ai déjà payé 75K pour cet outil à conformité automatique, que puis-je faire de plus ? »

Ahmed Epan Le crédule

Le mot du Dataï-Lama : Point de tristesse. Une escroquerie n’est qu’une bonne affaire qui a rencontré une mauvaise loi.

Le mot de Maître Yodata : En la force nul ne peut douter. Pour la magie tout le contraire c’est.

« Je l’attends la CNIL, je l’attends. J’ai fait appel à un prestataire pour faire un premier état des lieux, pour sensibiliser le personnel, pour former notre futur DPO, pour faire un audit de conformité technique et juridique, pour mettre en œuvre les actions de conformité et pour externaliser la fonction de DPO pendant 1 an avant d’internaliser, j’ai acheté un progiciel pour piloter la conformité, fait embaucher un assistant et deux stagiaires. Puis je vais bientôt faire appel à un second prestataire pour un contrôle de niveau 2. Certes je n’ai pas pris le temps de réfléchir et je n’ai plus un copek devant moi, mais je suis au top je pense. »

Gilles Parbal Le prévoyant

Le mot du Dataï-Lama : Patience et longueur de temps font plus que force ni que rage.

Le mot de Maître Yodata : D’argent la conformité RGPD n’est pas qu’une question. De la réflexion le temps il faut prendre.

Si vous n’êtes pas encore au point, quel devrait être l’exemple à suivre ? En vérité il y a du bon à prendre chez chacun de nos compères, sauf Adrienne bien sûr.

  • Oui comme Agathe vous vous rendrez compte que, pour atteindre un excellent niveau de conformité, le travail est considérable. Mais nul ne vous demande de tout faire en même temps, c’est d’ailleurs le meilleur moyen de tout faire de travers ;
  • Oui comme Eléonor vous devrez travailler sur votre « image RGPD » sans pour autant vous y arrêter. Un certain jeu de dupes s’est mis en place mais les masques finiront par tomber et il y a fort à parier que mentir sur sa conformité sera encore moins bien accueilli par clients et régulateurs que de ne pas être en conformité. Au cas où vous auriez manqué l’information, sachez qu’il y a eu une hausse significative des sollicitations de la CNIL (+ 45% d’appels sur les 7 premiers mois de 2018, + 83% de consultations des FAQ en ligne et 3 millions de visites sur le site internet depuis mai 2018) ;
  • Oui comme Ahmed il vous faudra probablement outiller le dispositif, mais n’oubliez pas que les outils sont un moyen, pas une fin ;
  • Oui comme Gilles il faudra appuyer votre démarche sur de vrais moyens humains et financiers, mais souvenez-vous qu’on ne vous demande pas la lune mais des efforts à la mesure de vos capacités ! Par ailleurs, et inutile de me dénoncer je nierai avoir écrit ça, la conformité à 100% est bien souvent impossible et très souvent… disons pas « souhaitable » ou « disproportionnée » dans certains contextes (attention, je ne dis en aucun cas de jeter le RGPD par la fenêtre, je parle de points de détail).

L’idée clé est qu’il n’est jamais trop tard pour bien faire, et jamais bon de travailler dans la précipitation. Alors, dans l’ordre :

  1. Sensibilisez votre Direction pour obtenir un premier budget ;
  2. Trouvez-vous un consultant au top pour élaborer un programme d’état des lieux incluant de la sensibilisation et un « kit communication RGPD » pour vos clients (ce qui vous évitera de demander, comme beaucoup, des consentements n’importe comment voire pire, des consentements inutiles) ;
  3. Suivez le projet de près pour vous former au passage si la prise en charge du sujet doit être internalisée à terme, ou pour vous assurer que le prestataire à l’étoffe pour être votre DPO externalisé (ou DPO mutualisé) plus tard ;
  4. Décortiquez le rapport d’audit pour définir une organisation pérenne pour la mise en œuvre des recommandations et le maintien de la conformité ensuite.
C’est à vous de jouer !