« Le registre recensant les traitements et leurs caractéristiques s’impose à tous » précisait Thomas Dautieu, directeur adjoint de la conformité à la CNIL, jeudi 28 juin dernier à l’université Paris Dauphine dans le cadre d’un débat organisé par la Chaire Gouvernance et Régulation animé par Guillaume Buffet, Président de U Change et Vice-Président de Renaissance Numérique.
L’affirmation forte du représentant de l’Autorité de contrôle française nous rappelle qu’il appartient désormais aux entreprises de démontrer leur conformité avec le règlement RGPD (les « simples » déclarations ne sont plus de mise). Mais au-delà, M. Dautieu confirme que ce registre concerne toutes les entreprises, y compris les PME, alors que le règlement pouvait laisser entendre que seuls les grands acteurs y étaient assujettis.
Premiers retours d’expérience après 100 jours d’application
S’exprimant sur les enseignements à tirer de ces 100 premier jours, l’animateur et les intervenants (François Momboisse, Fevad, Benoît Marichal, RATP) s’accordent sur la nécessité d’engager toute l’entreprise dans la mise en conformité, au-delà des traditionnelles directions juridiques, conformité et informatique. « Si l’on analyse le règlement uniquement comme une contrainte, on occulte l’évolution des attentes consommateur. » est-il rappelé. « Le RGPD permet à l’entreprise de concevoir une nouvelle approche de d’innovation s’appuyant sur la confiance client et plus sur des modèles opaques ».
Trouver l’équilibre
Attention, cependant ! Si le « consentement » est dans tous les esprits, il est rappelé « qu’il n’est pas la seule base légale proposée par le Règlement : à titre d’exemple, l’exécution du contrat ou l’intérêt légitime peuvent aussi être pris en compte ».
Le règlement recommande, dès que cela est jugé nécessaire d’établir une analyse d’impact (PIA) permettant de mettre en balance l’intérêt de l’entreprise avec celui du consommateur, en mesurant le risque potentiel pour les différents acteurs.
Alors que M. Momboisse s’inquiète de la potentielle distorsion de concurrence entraînée par le GDPR entre acteurs du e-commerce européens spécialisés et acteurs américains généralistes (comme Amazon), M. Dautieu rappelle que personne n’interdit à quelque européen de faire aussi bien que les géants américains mais que le règlement s’impose à tous, dès lors qu’il concerne des consommateurs européens.
Le public retiendra de ce débat que le GDPR a pour vocation de renforcer la confiance qui lie entreprises et consommateur, et que sans confiance, il n’y a pas d’économie
Outils et innovation
La CNIL rappelle qu’elle n’a pas vocation à accompagner individuellement les acteurs économiques. Elle met à disposition des recommandations, guides et outils et échange avec des fédérations professionnelles.
En parallèle, des outils logiciels voient le jour. 18 d’entre eux, proposés par des startups innovantes de la FrenchTech, ont été présentés lors de l’évènement Trust and Privacy Night.
Dans ce cadre U présentait sa solution GDPR Drop, outil de registre dynamique des traitements. Une solution logicielle collaborative qui transforme l’obligation du registre des traitements en opportunité ! Création simplifiée des traitements, suivi de l’avancement de la saisie du registre, gestion de tâches et d’alertes, tableaux de bord par département ou encore l’intégration du registre des sous-traitants : autant de fonctionnalités permettant aux entreprises d’accélérer leur mise en conformité.
Vous souhaitez plus d’informations ou une présentation personnalisée, contactez-nous : info@gdpr-drop.com
A voir sur la page de la conférence
- Retrouvez l’interview de Guillaume Buffet qui présente les grands axes de son intervention
- Téléchargez la synthèse RGPD : Premiers retours d’expérience