Hélène Legras, DPO d’Orano, nous livre son analyse sur l’impact du RGPD sur l’archivage managérial.
1/Qu’est-ce que le RGPD a apporté à l’archivage managérial ?
Le RGPD a institué une nouvelle organisation au sein des entreprises autour du traitement des données à caractère personnel. Depuis son entrée en vigueur le 25 mai 2018, 15 000 DPO (Data protection officers) ont été nommés. Alors qu’auparavant, seulement 5 000 CIL (Correspondants informatique et liberté) avaient été nommés en application de la loi informatique et libertés de 1978 modifiée le 6 août 2004 et son décret d’application du 20 octobre 2005.
Comparé au CIL, le DPO a des responsabilités accrues devant mettre en place la conformité au RGPD en relation directe avec la Cnil dont il est le point de contact… La gouvernance de la donnée est une tâche ardue. Le DPO veille notamment au respect des préconisations de la Cnil en matière de durée de conservation des documents. Il est aussi en charge de réaliser ce que l’on appelle des DPIA (Data Protection Impact Assessment), c’est-à-dire des analyses d’impact sur les traitements présentant un risque sur la vie privée des personnes, conjointement avec le responsable de traitement. Cette analyse est l’une des principales nouveautés du RGPD, avec le droit à l’oubli et le droit à la portabilité. Le DPO doit rendre compte au plus haut niveau de son entreprise, ce qui montre bien l’importance de sa fonction.
2/ Quelles sont les dernières indications de la Cnil sur la mise en application du RGPD ?
Nous avons dernièrement reçu des informations très importantes de la Cnil, qui détaillent justement la liste des 14 traitements pour lesquels l’établissement d’un DPIA est obligatoire. La liste des 17 compétences et savoir-faire attendus, permettant de certifier les DPO, a également été publiée. Pouvoir certifier son DPO permet de justifier que le DPO répond aux préconisations du référentiel de la Cnil, c’est donc une vraie valeur ajoutée, tant pour l’entreprise que pour le DPO lui-même.
3/ Quelles sont les nouvelles pratiques que vous avez adoptées dans l’organisation de votre travail depuis l’entrée en vigueur du RGPD ?
J’ai notamment mis en place un sharepoint du DPO, c’est-à-dire un lieu de stockage partagé au sein de l’entreprise dans lequel j’associe mon réseau interne à tous les documents liés à la protection des données : nominations, procédures internes, registre des traitements, etc. L’objectif est de pouvoir justifier sa conformité lors d’un éventuel contrôle de la Cnil. Par exemple, sur la durée de conservation, il est possible de ne pas appliquer strictement les recommandations de la Cnil pour un cas spécifique, dès lors que cette décision est justifiée. Le RGPD implique donc une toute nouvelle gestion documentaire, indispensable pour les sociétés et plus particulièrement les groupes.
