Le 31 mars 2021 marquait la fin du « délai raisonnable » accordé par la CNIL aux entreprises pour répondre aux dernières directives sur la protection des données personnelles. Adoptées en octobre 2020, ces directives devaient limiter l’impact des cookies publicitaires. Aujourd’hui, ce délai est arrivé à son terme et l’instance en charge de la protection des données personnelles a annoncé un renfort des contrôles. De fait, les entreprises doivent s’assurer que tout leur process de collecte, d’analyse, de production et de développement des données soit aux normes. Un travail important, mais pas insurmontable, qui doit débuter par une identification des données personnelles…
1. Identifier les données pour mieux comprendre les actions à mener et s’éviter des ennuis
Lorsqu’un organisme effectue une collecte de données, les problèmes peuvent vite s’accumuler. Entre les différents canaux de collecte, les différents types de données ou les nombreux espaces de stockage, il est facile de s’y perdre. De fait, il est nécessaire d’effectuer en amont de chaque usage de Data, un travail préparatoire afin de définir un « cadre de collecte et d’usage de la donnée », pour s’assurer de respecter le RGPD et pouvoir agir rapidement et efficacement en cas de problème.
Cependant, toutes les entreprises ne mettent pas encore en place ce cheminement et s’exposent donc à des risques lors de leurs différentes phases de collecte et d’utilisation de la donnée. Il devient donc primordial d’agir et d’analyser ses jeux de données pour rentrer dans le cadre légal et pouvoir aborder sereinement un potentiel contrôle de la CNIL.
2. Adopter une démarche proactive et pragmatique
Devant l’ampleur de la tâche que représente la mise en conformité aux directives RGPD, les experts préconisent l’adoption d’une méthode de travail raisonnée, où l’analyse de tous les canaux d’arrivée d’informations représente la base de toute action. Ainsi, dans un premier temps, il faut lister tous les espaces où sont potentiellement stockées des données. De manière non exhaustive, cela comprend les bases de données (SQL, NoSQL, …), les stockages sur les progiciels, les emails, …
Cette liste représente un travail de recensement à ne pas négliger. Plus la liste sera détaillée, plus le travail de la détection sera pertinent. Au-delà de faciliter le travail de mise aux normes, une analyse préalable du périmètre de travail permet de cadrer le projet et surtout de limiter les coûts. Cela évite de transformer un projet de mise aux normes en un gouffre financier pour une entreprise.