Les données numériques sont considérées à juste titre comme des éléments de valeur dont la protection doit être assurée, à l’instar de tout patrimoine. Outre la valeur financière que représentent ces données, il nous faut considérer leur valeur morale qui est non négligeable. Nous en sommes les gardiens vis-à-vis de celles et ceux qui nous confié les différents éléments qui en constituent la nature. Comment s’adapter sans délai à ce qui ressemble à un plan d’urgence et de sauvegarde numérique ? Tel est le sens de ces quelques lignes. Décryptage…

 

Aujourd’hui, l’Europe légifère par la mise en place en mai 2018 du RGPD (Règlement Général européen pour la Protection des Données). L’une des spécificités de ce nouveau texte est d’étendre aux sous-traitants un certain nombre d’obligations. Aujourd’hui, personne, quelle que soit la taille de l’entreprise, ne peut ignorer l’importance que revêt la protection des données à caractère personnel. En langage clair, tous doivent mettre en œuvre les moyens d’y parvenir avec efficacité et efficience.

Une logique de responsabilité

La réglementation vis-à-vis de la CNIL (Commission Nationale de l’Informatique et des Libertés) repose sur un système déclaratif des entreprises administrant un fichier (déclaration, autorisation). Pour sa part, le nouveau RGPD se fonde sur une logique de responsabilisation et de transparence, notamment par la prise en compte de la protection des données dès l’ouverture d’un service, la mise en place d’une organisation interne de mesure, et d’outils qui garantissent une protection optimale.

Ceci suppose un certain nombre de procédures où celles et ceux qui auront à administrer un système de management de la qualité ne seront pas dépaysés (inventaire des traitements de données, évaluation des pratiques, identification des risques et gestion des non-conformités, actions préventives, correctives et d’amélioration, traçabilité des mesures et événements, etc.). Si le système antérieur de déclaration tend à disparaître, les entreprises devront démontrer, preuves à l’appui, la mise en place d’un système opérationnel et fiable de protection, réévalué périodiquement.

Désignation d’un pilote, l’engagement de la direction

Un "Monsieur ou Madame Sécurité des données" devra être nommé dans chaque entreprise. Son rôle de référent sera de s’assurer de la bonne application du contexte législatif et réglementaire, des consignes relatives à la sécurité des données, la diffusion de l’information, le conseil et le contrôle en continu. Bien entendu, vous avez la possibilité de vous en remettre à des conseils extérieurs pour la mise en œuvre des procédures.

Cartographier les données existantes, prioriser les actions, gérer les risques, documenter la conformité…

Pour bien agir, rien ne vaut une parfaite description du traitement actuel des données personnelles dans votre entreprise. Cette cartographie doit vous permettre de définir un plan d’action, et de prioriser les actions à mener, notamment en commençant là où les risques sont les plus notables et identifiés. Cette analyse d’impact comprend notamment :

- une description du traitement étudié et de ses finalités ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques.

Vous devrez, le cas échéant, prouver votre conformité par rapport aux risques identifiés, en mesurer les impacts régulièrement, documenter vos actions.

Le temps des pirates et du Far-West est-il revenu ?

Vous constaterez que tout ceci ressemble à s’y méprendre au document unique d’évaluation des risques en entreprise, orienté fortement sur le numérique. Pourquoi une telle démarche ? Force est de constater que l’univers informatique et ses traductions multiples, notamment vers les réseaux sociaux, ont fait un gigantesque grand bond en avant.

L’apport du Big Data avec la gestion des données massives, la fantastique capacité d’analyse des données hétérogènes ou non, issues de silos de données publiques ou non et trop souvent insuffisamment protégées, débouchent sur des abus qui défraient la chronique (cf. Facebook – NDLR). Notre vie privée n’est plus privée pour personne, ne serait-ce que par la trace que nous laissons quotidiennement, volontairement ou par ignorance, derrière nous (réseaux sociaux, banques, achats Web, moteurs de recherche, données de santé, abonnements, paiements divers...).

Il n’y a qu’à se pencher pour recueillir ces renseignements précieux qui vont fonder en majeure partie les actions "marketing" les plus diverses. Par certains côtés, il faut reconnaître que nous sommes au temps des pirates et du Far-West, avec attaques impunies des diligences.

Le mal est fait, me direz-vous ? Oui et non…

Laisser par laxisme les portes ouvertes de la maison a pour effet de tenter les voleurs. Autant protéger ce patrimoine essentiel et appliquer le bon sens commun pour mettre un frein à ces velléités malfaisantes. Loin de l’usine à gaz, il existe des solutions simples et efficaces, des procédures organisationnelles efficientes qui ne feront pas de mal à vos structures, des réponses fermes à la tendance actuelle de pillage des ressources numériques, un pillage qui semble se mesurer dorénavant en milliards d’euros annuels. De quoi laisser songeurs les plus réfractaires aux textes législatifs de cette nature…

Or donc, les données numériques ne sont plus immatérielles. Elles ont une réelle et exponentielle valeur marchande, c’en est même la ruée vers l’or de la décennie pour quelques petits malins, qui ont bien compris tout l’intérêt de la situation.

Le RGPD est en cela une première bonne réponse, alors ne la boudons pas. Agissons dès à présent, et instaurons ensemble la ruée vers l’or… ganisation.

Steve La Richarderie

Résonance n°139 - Avril 2019

Instances fédérales nationales et internationales :

CPFM - Confédération des Professionnels du Funéraire et de la Marbrerie FFPF - Fédération Française des Pompes Funèbres UPPFP - Union du Pôle Funéraire Public CSNAF - Chambre Syndicale Nationale de l'Art Funéraire UGCF - Union des Gestionnaires de Crématoriums Français FFC - Fédération Française de Crémation EFFS - European Federation or Funeral Services FIAT-IFTA - Fédération Internationale des Associations de Thanatoloques - International Federation of Thanatologists Associations