RGPD : Faire d’une difficulté technocratique un atout de management pour votre développement !

Vers une solution intégrée, externalisée de votre responsabilité de gestion des données personnelles et un accompagnement à la fois de sa mise en oeuvre mais aussi de l'usage commercial des données.

Le RGPD, qu’est ce donc ? C’est une immense usine à gaz destinée à garantir la sécurité des données personnelles que vous confient vos adhérents, vos clients, vos patients, vos maisons mères, vos filiales, vos sous-traitants, vos partenaires, même « one shot », que la donnée soit numérique ou écrite, à l’ancienne…. Le tout dans un environnement où les ¾ des données collectées le sont par des micro-entreprises et le tissu associatif.

Or le RGPD – Règlement Général pour la Protection des Données, a des conséquences à la fois sur le plan financier (amende jusqu’à 4 % du CA mondial du Groupe), mais aussi judiciaires, pénales et civiles lorsque la jurisprudence se sera consitutée. 

Pour les Grands Groupes, assumer une « cellule RGPD », avec des postes budgétaires identifiés, c’est simple, si tant est que le groupe se donne réellement les moyens de construire un audit de ses données et un process de management de leur stockage, mais aussi une gestion amont/aval du devenir de ces données dans leurs filiales ou chez leurs sous-traitants. Et, ça, c’est pas gagné !

Là où le bât va blesser, c’est pour toutes les professions libérales, les micro entrepreneurs, les auto-entrepreneurs, les associations sportives, cultuelles, culturelles, sociales, les sous-traitants de filiales, les sous-traitants de sous-traitants, les professions de santé, les petits commerces, le commerce en ligne pour des artisans ou des créateurs, etc. qui, toutes, à un moment détiennent des données entrant dans la qualification des données RGPD.

Cela pose d’entrée de jeu la qualification de ces données. Est-ce une simple information sans véritable contenu (nom , prénom, adresse, téléphone, mail), ou bien y a t’il associées à la donnée des informations bancaires, de santé (un certificat médical d’aptitude), de commandes, d’ordres, de rendez vous, … Quel est son degré d’usage, comment le propriétaire de la donnée y aura t’il accès, en sachant que cela DOIT être en temps réel.

Cela pose ensuite la sécurité d’accès à ces données : l’ordinateur ou le simple registre du personnel, obligatoire dans toutes les entreprises, sur lequel est indiqué le numéro de sécurité social du ou des salariés, est-il accessible à tous, est-il protégé ? Ces données sont-elles sauvegardées et sur quel support ?

Enfin, cela pose la question du bon usage des données et de l’information faite à son propriétaire. Un exemple simple : un envoi commercial par emailing avec des adresses mails apparentes est une faute susceptible d’engager la responsabilité civile et pénal du gérant.

En sachant que chaque possesseur de données doit déclarer un DPO, en gros un responsable de la sécurité de ces données, ou bien en être « désigné d’office » et que, même si cela n’est pas encore écrit dans les textes, la jurisprudence cherchera la responsabilité de ce DPO, comment vont faire toutes ces entreprises où le patron et aussi le secrétaire, le producteur, le commercial, … ?

Une fois décrit ce scénario inquiétant, pour beaucoup charges complémentaires et dépenses à envisager, imprévues dans le business plan initial, il convient de relativiser le risque, de le border, et même d’en profiter pour se servir de cet obligation comme un d’un outil destiné à revitaliser son dynamisme économique.

Comme se border ? Tout d’abord en ne se cachant pas derrière « je suis petit, on me verra pas » ! En effet, la CNIL a tout pouvoir de contrôle. Elle peut se saisir d’elle-même ou être saisie par un de vos clients – qu’elle peut même être - , un concurrent, un salarié, un adhérent mécontent, etc..

La CNIL se questionnera, fera le tour de votre site Web (ça se fait en deux minutes chronos), vous demandera des comptes, là où vous en êtes, et, éventuellement, dépêchera l’un de ces 200 agents pour vérifier sur place (là c’est que ca commence à chauffer !). Beaucoup de temps à perdre, même si la CNIL, à l’instar des Cours des Comptes, préfèrera les organisations en progrès, qui se cache pas et joue la transparence, et aidera plutôt que sanctionnera (sauf faute lourde et délibérée). Répondre, c’est se protéger. Mais pour répondre, il faut montrer qu’on a pris le sujet à bras le corps, même  si on est en retard, mal préparé ou pris en faute. Et que l’on a documenté sa démarche (selon le vieil adage : « les mots s’envolent, les écrits restent »).

La seconde solution, pour les TPE, PME PMI, les Associations, les professions libérales,  c’est l’externalisation de cette responsabilité, celle du DPO, et dans l’accompagnement adapté de chaque producteur ou conservateur de données. Vous faire aider dans le management de la donnée dont vous vous servez pour travailler tous les jours. Trouver des solutions sécurisées et pertinents de transferts de fichiers, des hébergeurs robustes, agréés le cas échéants, à concevoir des fichier performant et facile à les modifier à la demande, dans l’immédiat d’un questionnement d’un de ceux dont les données sont dans le ficher.

Et c’est là que le RGDP peut devenir une redoutable plateforme de développement économique : en réfléchissant au RGPD, il devient possible de réfléchir à moindre coût à la pertinence du fichier et à éviter les envois massifs, inutiles, encombrant, dévastateurs en terme d’images de publicités de news lettres jamais lues, parce que non ciblées, non  demandées, qui encombrent notre boite mail, comme les publicité encombre, nos boites aux lettres préhistoriques, et nous mettent en colère.

Mieux cibler, mieux utiliser les données, en faire des statistiques, en déduire des comportements d'achat, ou, au contraire, comprend pourquoi un produit ne marche pas, voilà des pistes utiles ! Profitez-en : D’une technocratie, un outil de management !