Retour sur
Forum RGPD : des outils pour agir !
Publié le 12 Mar. 2018
Le règlement général de l’union européenne sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018. Dans cette perspective, à trois mois de l’échéance, le MEDEF Lyon-Rhône organisait, le 6 mars dernier en partenariat avec l’UCLY, un forum destiné à sensibiliser ses adhérents aux contraintes nouvelles, mais aussi aux opportunités qui s’ouvrent à eux dans ce cadre.
Après un mot d’accueil et de remerciements par Jean-Louis JOLY, Directeur Général du MEDEF Lyon-Rhône, et Benoît FROMENT, Directeur des partenariats et développement de l’UCLY, la matinée a débuté par une présentation du sujet par Michel CANNARSA, Directeur de la faculté de droit de l’UCLY, et animateur des débats. Dans la table-ronde qui suivait, les intervenants ont témoigné des questions soulevées au sein de leur entreprise dans le cadre de la mise en conformité avec le règlement. En réponse à la question du coût de la démarche posée par Florence VIAL, responsable juridique – AVIVA Cuisines, Philippe EYRIES, CEO-DATHENA, a estimé ce coût entre 30 et 50 M€ pour un grand groupe, et de l’ordre de 100 K€ pour une PME de 100 personnes. Dans une logique de réduction de ce coût, il a notamment argumenté en faveur du développement des stages pour jeunes DPO (Data Protection Officer), auprès de DPO expérimentés, dans une logique de mécénat de compétences. Pour Catherine FERNANDEZ, DPO-UCLY, la démarche de mise en conformité est l’occasion d’une culture d’entreprise renouvelée et mobilisatrice des équipes. Ainsi, des groupes de travail transversaux ont été constitués au sein de l’UCLY. Pour sa part, Thierry PARASSIN, DSI-VISIATIV a insisté sur le passage d’une logique déclarative (telle que la pratiquait la CNIL jusqu’à présent) à une logique de responsabilisation ou de compliance (accountability). La prise en compte du traitement et de la protection des données personnelles doit désormais être intégrée en amont de toute action (privacy by design), et être totalement transversale. Quant aux sanctions, elles pourront aller jusqu’à 4% du CA mondial d’un grand groupe. En dépit des annonces rassurantes de la CNIL, ne doutons pas qu’elles s’appliqueront dès le 25 mai 2018. Dans ce contexte, Me Raphaël PEUCHOT, avocat, CIL de l’Ordre des avocats de Lyon et animateur de l’AFCDP en région Auvergne-Rhône-Alpes, juge indispensable une collaboration étroite du responsable juridique et du DSI sur ce dossier. Il préconise une démarche en cinq étapes : Compréhension des enjeux, identification des acteurs, état des lieux, définition d’une feuille de route et mise en œuvre. Conscient que seules 26% des entreprises européennes sont aujourd’hui totalement conformes, il estime à minima que toute entreprise devra désormais être en mesure de prouver qu’elle connait les enjeux, qu’elle s’est appropriée la démarche, et qu’elle a commencé à agir. En conclusion des débats, Clémentine FURIGO responsable juridique – MEDEF, a présenté l’outil d’autodiagnostic RGPD du MEDEF, mis à la disposition des entreprises afin de les accompagner dans la démarche.
A l’issue d’échanges particulièrement riches, les cent-vingt participants se sont répartis au sein de quatre ateliers (*) où chacun a pu poser ses questions, et s’enrichir de l’expérience des autres.
(*) : Animateurs des 4 ateliers : Michel CANNARSA (UCLY), Clémentine FURIGO (MEDEF), Hamdi KAZANCI (SVP) et Didier LARESCHE (EY)
Pour aller plus loin, vous trouverez ci-dessous :
- La présentation du RGPD faite en ouverture de la table-ronde (présentation UCLY)
- Le lien vers l’outil de diagnostic RGPD du MEDEF : http://rgpd.medef.com
- Le lien vers les fiches pratiques du MEDEF http://www.medef.com/fr/content/guide-pratique-sur-la-protection-des-donnees-personnelles
- Le lien vers la vidéo de 15 minutes de la CNIL pour présenter le RGPD : https://www.cnil.fr/fr/video-le-youtubeur-cookie-connecte-repond-vos-questions-sur-larrivee-du-rgpd
- Le guide de la CNIL sur les mesures de sécurité élémentaires
- Le lien vers l’outil d’analyse d’impact de la CNIL (en open source) : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
- Le lien vers le site du service public pour les durées légales de conservation de certains documents : https://www.service-public.fr/professionnels-entreprises/vosdroits/F10029 (la CNIL recommande également des durées de conservation dans certains cas : par exemple pour la vidéosurveillance, les images peuvent être conservées maximum 30 jours)
- Clause-type de sous-traitance reprenant les obligations du RGPD
- La présentation du RGPD faite en atelier (Présentation MEDEF)
- La présentation du RGPD faite en atelier (Présentation EY)
- Le lien vers la galerie photos du Forumla présentation du RGPD faite en atelier (Présentation SVP)
- La présentation du RGPD faite en atelier (Présentation SVP)