Les dirigeants d’entreprises, membres du Comex ou acteurs spécialisés se sont saisis du nouveau Règlement européen RGPD. Des comités de pilotage existent au niveau groupe, souvent au sein de plusieurs directions comme la DSI qui traite le sujet avec d’autres directions, juridique, métiers, sécurité. Toutes les parties prenantes sur ce sujet ont besoin d’experts pour estimer exactement les mesures à suivre. Ils se sont exprimés lors de nos conférences.
Ce fut le cas lors du Security Day, avec Maître Polyanna Bigle, avocat à la cour, Directeur du département sécurité numérique au cabinet Alain Bensoussan. « Nous sommes tous concernés et impactés par GDPR (ou RGPD en français), qui s’adressent aux organisations basées dans l’Union européenne (UE), comme pour celles établies en dehors de l’Union mais travaillant avec des entreprises résidentes ou établies dans l’UE. Des entreprises établies hors de l’Union sont impactés, ce qui en montre l’importance ».

« Informatique et Libertés » s’applique toujours

Autre avocat, Maître Papin rappelle que « ce RGPD a peut-être une vertu, celle de nous remettre en mémoire la loi française de 1978, celle dite « Informatique et Libertés » qui s’applique toujours en matière de protection des données. Normalement, si vous êtes conformes avec cette loi, vous l’êtes avec RGPD. Même si elle date, la loi de 78 s’applique. Mais personne n’est conforme à cette Loi, il n’est pas inutile de le rappeler, nous avons déjà une Loi sur ce sujet, elle date de 40 ans, et est peu appliquée ».
Troisième élément, plus informatique, amené par Henri Codron du Clusif qui met en rapport le RGPD et la dispersion des données. « Une situation qui remonte à une bonne dizaine d’années, où les données ont été stockées à l’intérieur de l’entreprise dans un véritable château fort. Aujourd’hui les données sont dispersées, en interne comme en externe et dépendent de plusieurs directions, de la DSI mais pas que d’elle. Le paysage change ». Tout projet RGPD va tenir compte, outre des considérations juridique d’un état précis des données, le texte le recommande et les cabinets conseils qui se sont précipités sur le nouveau Règlement insistent à raison sur ce point.

RGPD = 173 considérants et 99 articles

Le travail informatique est immense, mais le juridique est incertain. Cruel paradoxe que résume Maître Papin «le RGPD c’est une horreur pour un juriste, avec 173 considérants et 99 articles. Il n’y avait pas de raison de faire aussi compliqué, on aurait pu faire plus souple ».
Les responsables en entreprises devront non seulement tenir compte de ce Règlement mais d’autres mesures du même ordre. Pour Michael Bittan directeur de la cybersécurité au cabinet Deloitte « les responsables de la sécurité en entreprise sont confrontés à la conformité qui prend plusieurs tournures comme la Loi de programmation militaire, la LMP pour les OIV. Ils doivent également inscrire le Règlement européen sur la protection des données dans l’optique du patrimoine informationnel de leur entreprise et de sa protection ».