Florian Douetteau, CEO, Dataiku
Le RGPD va modifier en profondeur le fonctionnement de tous les départements de l'entreprise (marketing, services RH, services juridiques, etc.). Il concerne les avis de confidentialité, les notifications de consentement ou encore les notifications de faille de sécurité. Dans les RH, l'indication « données personnelles » désignera désormais toute information permettant d'identifier une personne de façon directe ou indirecte (date de naissance, adresse IP ou nom). Les entreprises devront rendre ces données accessibles aux personnes concernées, permettre leur suppression – sous conditions –, et les informer sur leur durée de conservation et leurs mouvements. Les dirigeants cherchent à réajuster en conséquence leurs règles internes.
Règles internes : quels changements à amener ?
Il est impératif pour les entreprises d'évaluer les risques potentiels liés à leurs pratiques courantes et de modifier les règles actuelles.
1. Vérifier les processus de données en contrôlant les pratiques de conservation (type de données stockées, durée), de traitement et de transfert (en France, en UE ou à l'international).
2. Communiquer de façon compréhensible sur l'utilisation des données personnelles.
3. Tenir compte du droit des individus à l'information en élaborant un processus standard, pour les demandes d'accès aux données et de suppression, par les particuliers concernés.
4. Réviser les avis de confidentialité sans tarder, pour qu'ils soient conformes aux nouveaux paramètres de confidentialité (privacy notices) en vue de les préparer à l'application de la RGPD prévue l'année prochaine :
a. de façon concise, transparente, intelligible et facilement accessible ;
b. en langage simple et clair, en particulier s'il s'adresse à un enfant ;
c. et sans frais.
5. Anticiper les risques et les failles de sécurité de façon immédiate afin de protéger les données individuelles.
Comment se définit le rôle de délégué à la protection des données ?
L'article 37 (1) du RGPD exige la nomination d'un délégué à la protection des données (DPO) dans l'un de ces trois cas :
1. le traitement est effectué par une autorité publique ou un organisme public ;
2. les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
3. les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.
Après examen des lignes directrices du RGPD, les entreprises pourront nommer un délégué à la protection des données : une mesure encouragée par le RGPD.
Quel est son champ d'action ?
Garant de l'application du RGPD, dont le non-respect peut coûter jusqu'à 4% du chiffre d'affaires et entraîner l'interdiction de traiter les données personnelles, le délégué à la protection des données intervient en dehors du management. Il exerce une activité à plein temps qui requiert une parfaite connaissance des données de l'entreprise et de leur politique de traitement. Son rôle évoluera en fonction de l'émergence de nouvelles réglementations. Sans cet intermédiaire, nécessaire à la compréhension des directives de la RGPD, la gestion du traitement des données s'ajoutera aux attributions déjà nombreuses du Chief Digital Officer (CDO) ou du DSI, ce qui sera impossible à gérer.
Les entreprises doivent donc impérativement envisager d'intégrer cette compétence à leur personnel.
Règles internes : quels changements à amener ?
Il est impératif pour les entreprises d'évaluer les risques potentiels liés à leurs pratiques courantes et de modifier les règles actuelles.
1. Vérifier les processus de données en contrôlant les pratiques de conservation (type de données stockées, durée), de traitement et de transfert (en France, en UE ou à l'international).
2. Communiquer de façon compréhensible sur l'utilisation des données personnelles.
3. Tenir compte du droit des individus à l'information en élaborant un processus standard, pour les demandes d'accès aux données et de suppression, par les particuliers concernés.
4. Réviser les avis de confidentialité sans tarder, pour qu'ils soient conformes aux nouveaux paramètres de confidentialité (privacy notices) en vue de les préparer à l'application de la RGPD prévue l'année prochaine :
a. de façon concise, transparente, intelligible et facilement accessible ;
b. en langage simple et clair, en particulier s'il s'adresse à un enfant ;
c. et sans frais.
5. Anticiper les risques et les failles de sécurité de façon immédiate afin de protéger les données individuelles.
Comment se définit le rôle de délégué à la protection des données ?
L'article 37 (1) du RGPD exige la nomination d'un délégué à la protection des données (DPO) dans l'un de ces trois cas :
1. le traitement est effectué par une autorité publique ou un organisme public ;
2. les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
3. les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.
Après examen des lignes directrices du RGPD, les entreprises pourront nommer un délégué à la protection des données : une mesure encouragée par le RGPD.
Quel est son champ d'action ?
Garant de l'application du RGPD, dont le non-respect peut coûter jusqu'à 4% du chiffre d'affaires et entraîner l'interdiction de traiter les données personnelles, le délégué à la protection des données intervient en dehors du management. Il exerce une activité à plein temps qui requiert une parfaite connaissance des données de l'entreprise et de leur politique de traitement. Son rôle évoluera en fonction de l'émergence de nouvelles réglementations. Sans cet intermédiaire, nécessaire à la compréhension des directives de la RGPD, la gestion du traitement des données s'ajoutera aux attributions déjà nombreuses du Chief Digital Officer (CDO) ou du DSI, ce qui sera impossible à gérer.
Les entreprises doivent donc impérativement envisager d'intégrer cette compétence à leur personnel.
Florian Douetteau est CEO et co-fondateur de Dataiku. Diplômé de l'Ecole Normale Supérieure, il débute sa carrière chez Exalead, qu'il rejoint en 2000 pour mener une thèse sur le développement du langage de programmation Exascript. Il y restera jusqu'en 2011, occupant successivement plusieurs postes de direction et de vice-président dans les domaines de la recherche, du développement et du management de produits. Après un passage chez Is Cool Entertainment en tant que Chief Technology Officer, il intègre Criteo pendant quelques temps comme Data Scientist freelance, avant de se lancer dans l'aventure Dataiku en 2013.
Autres articles
-
Les règles du jeu des partage et réutilisation des données personnelles à l'ère du numérique
-
EQS Group entre en négociations exclusives pour l'acquisition de Data Legal Drive
-
La dernière étude du ministère du Travail réalisée par l’AFPA, avec le soutien de la CNIL et l’AFCDP souligne de nouvelles tendances dans l’exercice du métier de DPO
-
Podcast : Données personnelles, reprenons le contrôle, avec Cécile Petitgand
-
Dataiku met l’IA générative au service de la préparation des données
