Et voilà le 25 mai 2018 passé !
Bien malin celui qui saura prédire l’avenir de ce sujet, comme c’est le cas pour beaucoup de thématiques essentielles liées au numérique, d’ailleurs.
Personne n’est en mesure de savoir précisément quand et comment les autorités de protection et de contrôle européennes, dont la CNIL en France, vont lancer leurs plans de contrôle. Quelles priorités ? Quel calendrier ? Quelles sanctions ? Difficile d’y voir clair malgré les quelques informations partagées : « possibles sanctions dès le 26 mai », selon la présidente de la CNIL, I. Falque-Pierrotin contre « clémence les premiers mois » selon son secrétaire général, Jean Lessi.
Données personnelles : consommateurs, circulez il n’y a rien à voir
La marée de « mise à jour des conditions générales d’utilisation » reçue ces derniers jours dans nos boites personnelles laisse clairement envisager la nième version du « données personnelles : consommateurs, circulez il n’y a rien à voir ». Franchement qui va prendre le temps de lire ces mises à jour pour la plupart elles-mêmes non conformes au règlement et ne s’attaquant pas aux sujets essentiels ? Est-ce donc la victoire des entreprises et des juristes qui souhaitent avant tout anticiper tous les risques en cas de contrôle, quitte à produire une documentation illisible pour leurs clients ? Pas si sûr...
Mesurer le risque de réputation
En effet, les dernières semaines l’ont démontré : la seule mesure d’impact ne doit pas être calculée à l’aune du risque réglementaire ! Consommateurs, citoyens, associations de défense : nombreux sont ceux qui estiment qu'à partir du 25 mai, leur voix pourra enfin être entendue. Qu’ils pourront faire évoluer durablement les comportements des entreprises qu’ils considèrent comme peu respectueuses de leur vie privée. Les initiatives françaises comme e-bastille, qui a ouvert son « cahier de doléances » pour les citoyens - déjà 76 reçues, ou européennes comme Noyb.eu qui a déposé 4 plaintes dès vendredi démontrent que la donne a changé. Le sujet n’est donc pas de spéculer sur le risque de contrôle par le régulateur, mais bien de mesurer en temps réel le risque de réputation pour les entreprises qui ne sont pas en mesure de proposer un « deal » limpide à leurs clients et prospects.
Tous les professionnels de la communication de crise le savent : lorsque l’incendie a pris, il est souvent trop tard. Pour le RGPD comme pour de nombreux sujets, mieux vaut avoir une forêt de données personnelles bien entretenue et des outils de veille de qualité pour identifier les problèmes avant qu’un coup de vent n’en fasse une catastrophe.
La solution GDPR Drop
A ce titre, U Change et W Talents ont développé GDPR Drop, une solution qui répond « bien sûr » à une exigence du règlement : la tenue d’un registre des activités traitement (article 30). Mais GDPR Drop permet aussi - surtout ? - d’évaluer en temps réel l’usage des données personnelles effectué dans toute l’entreprise. En impliquant tous les collaborateurs concernés. Comme quoi travailler à sa conformité peut aussi servir les intérêts « business » de l’entreprise.