Les 23 et 24 janvier 2018 Dawizz était convié par l’Ordre des Experts-Comptables de Bretagne aux rencontres informatiques 2018 qui se tenaient respectivement à Quimper et à Rennes pour une intervention sur l’intérêt de la cartographie de données dans un contexte de protection des données personnelles.

 

Dawizz a détaillé les grands points et enjeux du règlement général de la protection des données (RGPD) entrant en vigueur en mai 2018 en Europe. Le nombre considérable d’acronymes, de néologismes et de terme « franglais » complexifient la compréhension d’un sujet déjà bien ardu. L’attention des participants a été particulièrement captée par le détail des impacts concrets pour les entreprises.

La question: « suis-je concerné ? » est évidemment dans tous les esprits. Dès lors qu’une entreprise ou organisme public manipule de la donnée personnelle (fichier RH, données clients…), elle est concernée par cette réglementation.

On comprend rapidement pourquoi réaliser une cartographie des données de l’organisation est une étape incontournable dans un processus de mise en conformité. Connaitre avec exhaustivité l’ensemble du patrimoine de données devient un enjeux crucial. c’est ainsi que la CNIL recommande cette étape de cartographie des données et des traitements à caractère personnel.

 

Quels conseils donneriez-vous aux cabinets d’expertise comptable pour appréhender au mieux cette nouvelle réglementation ?

 

« Cette nouvelle réglementation, RGPD ou GDPR (Règlement Général sur la Protection des Données ou General Data Protection Regulation) suscite beaucoup d’interrogations pour bons nombres d’entreprises. Il est néanmoins important de noter qu’elle est un prolongement de la loi informatique et liberté de 1978. Gardons en tête l’essence même de ce règlement qui est la protection des individus.

 

Une des principales questions qui se pose est « Qu’est-ce qu’une donnée personnelle ? », la définition de la CNIL précise qu’il s’agit de « toute information identifiant directement ou indirectement une personne physique (ex. nom, no d’immatriculation, no de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…). »

 

Rien ne sert de s’affoler outre mesure, les sanctions annoncées par la CNIL, désignée autorité de contrôle pour la France, sont certes dissuasives mais cette dernière a annoncé une attitude pragmatique à l’égard des entreprises qui ne seraient pas prêtes au 25 mai 2018 (date d’entrée en vigueur du règlement). En effet, un projet de mise en conformité RGPD est une course de fond.

 

Je recommanderai aux cabinets d’expert-comptable s’engageant dans cette démarche RGPD de se poser cette délicate question : « Quelles sont les données que nous possédons et que nous traitons dans notre cabinet ? ». Il s’agit de faire un inventaire complet des données de la structure lors d’une phase de cartographie de données.

 

L’accent est à mettre, bien évidemment, sur les données à caractère personnel contenues dans le système informatique (application, dossiers partagés, …). Un travail de fourmi certes, mais nécessaire pour assurer la conformité RGPD de votre organisation.

 

Ensuite, il convient de s’interroger sur la légitimité de l’organisation à posséder ces données à caractère personnel. A quoi nous servent-elles, quelle est la finalité des traitements effectués ?  Un des piliers de la réglementation, toujours dans l’optique de protéger l’individu, est de ne collecter que les éléments nécessaires et utiles.

 

Notez que le site de la CNIL est très bien documenté et peut vous apporter de nombreuses réponses, consulter le sans hésitation. »

 

Stéphane Le Lionnais – cofondateur de Dawizz a une grande expérience des problématiques d’open data, de cartographie de données et leurs contraintes réglementaires.