L’association eFutura organisait ce jeudi la troisième édition de sa Journée de la Transition Numérique. L’occasion de faire le point sur le RGPD avec la Cnil, le Groupe Total et le CHU de Bordeaux en témoins.
L’association eFutura, qui regroupe des acteurs de la gestion, de la valorisation et de la préservation des contenus numériques, organisait une journée de tables rondes et conférences ce jeudi 4 octobre. Elle a eu la bonne idée de s’interroger : 5 mois après l’application du Règlement Général sur la Protection des Données personnelles (RGPD), où en sont les entreprises ? Pour répondre à la question, une table ronde, animée par Lionel Husson, responsable GT RGPD eFutura, réunissait Matthieu Grall, chef du service de l’expertise technologique de la Cnil, Benoît Doessant, direction Gouvernance du Groupe total, et Moufid Hajjar, médecin et DPO du CHU de Bordeaux.
Des données multiples pour les travaux de recherche
Ce dernier explique les difficultés auxquelles le CHU est exposé, en particulier sur les recherches et études effectuées sur des données venant de multiples horizons ou encore avec les sous-traitants, qui ont tous voulu rapidement revoir leurs contrats, laissant, en gros, l’hôpital se débrouiller. Le DPO explique également les problèmes de « culture« , la difficulté de « partager » et « diffuser » la bonne parole et les informations. Visiblement, la conformité de la masse d’informations qui circule est difficile à vérifier, et le chemin est encore long à parcourir. Comment enregistrer dans le registre imposé par la Cnil « 2 000 déclarations de projets de recherche par an » ?, interroge le médecin-DPO. Alors que ce registre, outil essentiel de conformité, doit indiquer les catégories de données traitées et leurs usages, qui y accède et à qui elles sont communiquées, combien de temps elles sont conservées ou encore comment elles sont sécurisées. Le médecin cite l’exemple d’un autre CHU qui a pris le parti de mettre à disposition des équipes un disque dur partagé où chaque équipe vient inscrire son projet. Mais y aura-t-il quelqu’un pour vérifier la conformité des déclarations ? Le doute plane…
Pas de modèle passe-partout pour un grand groupe
Chez Total, et ses multiples filiales, à l’aise depuis longtemps avec les problèmes réglementaires et de conformité, les difficultés ont porté sur de multiples aspects : juridique, processus métiers, IT… Fallait-il nommer un ou plusieurs DPO, et où : dans les filiales, les branches… ? En outre, implanté dans de très nombreux pays, le groupe ne peut délivrer un seul modèle passe-partout, confronté à des réglementations locales, par exemple sur des clauses de contrats. Pour Benoît Doessant, les équipes de Total sont « à l’écoute », mais « surchargées ». La branche Marketing utilise à elle seule 1000 applicatifs, donne-t-il en exemple. Le RGPD est donc avant tout une difficulté « de temps« .
Des sanctions de la Cnil de plus en plus homogènes
Matthieu Grall, de la Cnil, à qui l’on demande ce qu’il y a de nouveau avec le RGPD répond : « Rien de neuf depuis 40 ans, mais la différence c’est que tout le monde le découvre aujourd’hui« . Il souligne que pour les entreprises qui partent « du niveau O », le RGPD paraît « insurmontable« . La difficulté est « d’endosser le concept de responsabilité« . Tout le monde aimait bien quand la Cnil jouait la maîtresse d’école et « révisait la copie », relate-t-il. Concernant les sanctions, qui se voient de plus en plus dissuasives, il précise, se voulant rassurant : « La Cnil ne sanctionne pas à tout prix. La très grande majorité des cas se résolvent à l’amiable », et cela ne devrait pas changer, ajoute-t-il. Ce qui devrait bouger en revanche c’est « la coordination européenne » avec des sanctions « de plus en plus homogènes ».
En conclusion de la table ronde, son animateur Lionel Husson a indiqué que l’association mettait ce jour à disposition sur son site « un guide d’application du RGPD autour de la GED et de l’archivage électronique ». Un guide de 30 pages réalisé avec l’aide de la Cnil, proposé sous forme de fiches. L’objectif est de fournir à terme « un code de conduite« .
