Comment gérer ses bases de données avec l'arrivée du RGPD?

Comment gérer ses bases de données avec l'arrivée du RGPD?



67 jours : à l’heure où ces lignes sont écrites, c’est le temps qu’il reste avant la promulgation du nouveau règlement européen sur la protection des données personnelles, le désormais fameux RGPD. Et une question centrale taraude ceux qui ont eu l’intelligence de se préparer à cette évolution juridique d’importance : mes vieilles bases de données, celles avec lesquelles je bosse tous les jours, j’en fais quoi ?


 

Et dieu sait que la question est bonne ! C’est sans doute d’ailleurs l’un des points les plus complexes à gérer pour les entreprises qui, légitimement, oscillent entre l’envie de se mettre en conformité et la crainte de perdre une partie de leur outil de travail.
 
Alors très concrètement posons nous les quelques questions qui suivent (vous avez droit d'aller chercher une bière d'abord...)

 

Mes bases de données constituées avant le 25 mai 2018 seront-elles illégales à compter du 25 mai ?

Potentiellement oui mais retenez que les raisonnements binaires s’agissant de la problématique de la protection des données perso sont à proscrire : il y a beaucoup de principes et encore plus d’exceptions dans le règlement européen…

En principe toute donnée perso qui n’a pas été récoltée conformément aux exigences de la loi du 6 janvier 1978 actualisée par les directives européennes qui l’ont mise à jour, et notamment toute donnée non accompagnée de la preuve du recueil du consentement de la personne intéressée constitue une irrégularité au sens de la réglementation. Donc, pour dire les choses simplement, cette situation engage potentiellement votre responsabilité…

Si en revanche vous avez jusque là scrupuleusement respecté la réglementation en la matière (on sait que c'est pas le cas sinon vous ne seriez pas en train de lire ça...) le problème ne se pose pas ou en tout cas il se pose moins. 
 
 

Comment je fais pour passer le 25 mai sans jeter mes bases de données et me pendre ensuite dans la forêt avec un panonceau « le RGPD m’a tuer » ? 

C’est simple, vous embauchez 3000 intérimaires spécialisés dans le « nettoyage de base de données conforme RGPD » et vous les faites bosser nuit et jour jusqu’au 25 mai…

Et si vous ne pouvez pas faire ça, vous essayez de mettre en place un système de cryptage et/ou d’anonymisation de vos bases de données. L’idéal sur le plan juridique, mais là heureusement que je suis pas à côté de vous sinon vous commenceriez à me coller des baffes, serait de recueillir le consentement des personnes concernées par les données possédées de manière massive via par exemple un mailing leur explicitant la problématique et les invitant à manifester leur consentement (de manière conforme au RGPD… voir en ce sens www.axeptio.eu).

A défaut, choissisez une branche solide...
 


Est-ce qu’après le 25 mai je dois vraiment migrer en Corée du Nord si mes bases de données sont toujours pas à jour ? 

Vous allez avoir du temps !

Surtout ne perdez pas de vue que la mise en conformité au RGPD c’est aussi un business. On ne compte plus les opportunistes de tous bords qui depuis quelques mois s’octroient la qualité de Maître ès RGPD alors même qu’ils n’ont jamais mis les mains dans la problématique de la protection des données personnelles auparavant.

Pendant 2 à 3 ans, le temps que la bulle retombe, il est certain qu’on va tenter de vous vendre de la mise en conformité comme Jean-Pierre Marielle vendait des encyclopédies dans l’Entourloupe en 1979

Oui il faut sérieusement songer à se mettre en conformité, oui c’est un travail long et qui peut être complexe, non il n’est pas vrai de dire que vous serez contrôlé dès le 25 mai. Mais il est juste de dire que vous vous exposez fatalement à des actions individuelles ou collectives qui peuvent être ennuyeuses. La CNIL a déjà fait savoir qu’elle serait tolérante, ce ne sera sans doute pas le cas de certains accrocs au tribunal. Pas de panique donc, mais pas de négligence non-plus, donnez vous jusqu’à la fin de l’année pour vous mettre au carré et ce sera acceptable même si la date butoir officiellen c'est le 25 mai. 

Ce qui serait impardonnable, c'est de ne rien faire. Il faut entamer des actions de mise en conformité pour qu'en cas de problème vous soyez a minima en mesure de démontrer que vous avez entamé une démarche vertueuse. On ne se trompera pas beaucoup en disant que le risque de contrôle administratif croît avec la taille de votre structure. Mais la nouvelle réglementation et la publicité qui lui sera donnée dans les prochains mois vont potentiellement susciter des idées de demandes, de poursuites chez certains. C'est ce risque là qu'il faut préparer en premier.
 


Quelles ressources puis-je utiliser pour mes bases de données? 

A ma connaissance, il n’y a pour l’instant pas de ressources techniques permettant de « nettoyer » vos bases de données.

Et il risque fort de ne pas y en avoir prochainement tant le travail juridique d’assistance au développement d’une telle solution serait couteux et complexe à mettre en œuvre. Attention, je n’ai pas dit « impossible ».

Au delà des avocats, organismes, juristes et autres solutions externes permettant d’atteindre le but visé, le conseil à diffuser est celui de la consultation en profondeur et régulière du site de la CNIL, véritable trésor de ressources. Le plus sûr moyen de faire des économies est assurément celui-là. Mais ça suppose que vous y consacriez du temps.

Il n’y pas de solution miracle pour vos bases de données, toutefois, anonymisation et cryptologie peuvent constituer un pansement à poser dans un premier temps sur une situation de non-conformité totale. Une première mise en sécurité en somme.
 


Dois-je me méfier des bases de données qui ne sont pas les miennes ? 

Plutôt deux fois qu’une en effet !

Le règlement européen créé une coresponsabilité du responsable de traitement et du sous-traitant. C’est dire que vous pouvez voir votre responsabilité être engagée pour une bêtise que vous n’aurez même pas commise vous même mais pour une négligence relative, par exemple, à un défaut de vérification : le contrat de cession de bases de données ou d’exploitation de bases de données vous garantie-t-il que la récolte et le traitement des data perso sont conformes aux exigences de la loi ? Le contrat organise-t-il les responsabilités pour répondre aux risques de coresponsabilité ? Quelle qualité avez-vous ? Celle de responsable du traitement de ces bases ou celle de sous-traitant de ces bases ? Tout cela est à auditer et à traiter pour gérer la problématique.
 
Allez, c’est fini pour aujourd'hui, vous avez mérité une aspirine…