blog

RGPD : Transformer la contrainte en opportunité grâce à l’automatisation

July 31, 2020

RGPD : Transformer la contrainte en opportunité grâce à l’automatisation

Les français sont de plus en plus nombreux à se soucier de la protection de leurs données personnelles. Il faut dire qu’avec le boom du télétravail et le développement du nomadisme digital, la protection autour de nos données numériques a pris une importance toute particulière.

En 2018, ce sont plus de 11000plaintes qui ont été déposées auprès de la CNIL (Commission nationale de l’informatique et des libertés). Cette autorité administrative indépendante française chargée de veiller à la protection des données numériques de français, a vu son nombre de sollicitations explosé, d’autant plus que maintenant, cet organisme peut prononcer diverses sanctions, y compris des amendes.

La mise en application du RèglementGénéral sur la Protection des Données (RGPD) en mai 2018 a été l’occasion de rappeler bon nombre de règles mais aussi certains droits dont peuvent désormais se prévaloir les personnes.

Des droits pour protéger les personnes

Pour tout préambule, il est important de souligner que le consentement des personnes n’est en aucune façon un droit absolu dans le cadre du RGPD. Cela ne constitue qu’une des bases légales possible.

Ainsi, parmi les droits dont chaque personne peut se prévaloir, il y a avant tout le droit à l’information cité à l’article 12 du RGPD qui dispose que le responsable du traitement doit fournir à la personne concernée des informations de façon concise, claire et compréhensible.

Vient ensuite le droit d’accès aux données régi par l’article 15 du RGPD la personne peut demander au responsable de traitement quelles données la concernant sont traitées et obtenir des informations sur ce traitement ainsi qu’une copie.

S’en suit à l’article 16 le droit de rectification selon lequel toute personne peut exiger que les données la concernant soient rectifiées, complétées ou mises à jour.

L’article suivant 17 concerne lui le droit à l’effacement : chaque personne concernée peut exiger que soit effacer les données la concernant selon différents cas.

Le droit d’opposition est abordé à l’article 21 et confirme que la personne concernée peut s’opposer à tout moment au traitement de ses données à des fins commerciales ou de prospection, et peut pour des raisons tenant à sa situation particulière, s’opposer au traitement de ses données quand il est effectué dans le cadre d’une mission d’intérêt public ou d’autorité publique.

Est à citer aussi le droit au déréférencement consacré par l’arrêt Google Spain du 13 mai 2014 par la Cour de Justice de l’Union Européenne.

L’article 22 du RGPD consacre lui le droit de ne pas faire l’objet d’une décision automatisée y compris le profilage. Attention néanmoins, il existe des exceptions.

L’article 18 du RGPD introduit la notion de limitation du traitement. La personne concernée a le droit d’obtenir du responsable de traitement la limitation du traitement lorsque l’un des éléments suivants s’applique : contestation de l’exactitude de certaines données ou dans le cas du traitement illicite des données.

Enfin l’article 20 aborde le droit à la portabilité des données personnelles fournies. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fourni au responsable de traitement dans un format lisible, notamment afin de les retransmette à un autre responsable de traitement sans que le responsable actuel y fasse obstacle.

Des mises en applications concrètes

Nous venons de voir une liste non exhaustive des droits dont nous pouvons tous nous prévaloir, néanmoins, la mise en pratique n’est pas simple, surtout du côté du responsable de traitement.

A titre d’exemple, une personne peut demander à son employeur d’accéder aux données inscrites dans son dossier personnel dans le cadre d’une démission. Tout comme nous pouvons demander aussi à notre médecin d’obtenir une copie des données inscrites dans notre dossier lors d’un déménagement ou si votre médecin part à la retraite… Sachez-le, pour les données administratives aussi vous pouvez faire valoir vos droits afin d’obtenir par exemple confirmation que vos données son bel et bien traitées.

Dans 90 % des cas la demande sera faite à la même adresse DPO@le nomdelentreprise.com. Faire la demande est une chose, mais obtenir une réponse, et surtout réussir à fournir le bon document dans le délai imparti en est une autre.

Du côté des entreprises il faut bien voir que ces droits conférés par le RGPD et défendus par la CNIL ont des répercussions importantes. Pour les sociétés, cela implique une complexité demise en œuvre de multiples rouages afin de satisfaire les demandes alors que les dirigeants n’ont pas forcément toujours les bons outils ni les ressources humaines, temporaires ou financières suffisantes.

Parmi les « rouages »concernés, il faut envisager de possible échanges avec des services peu sensibilisés à la protection des données comme les services Marketing, Vente,Support etc.

De plus, ce type de demande est souvent considéré comme non prioritaire par les services concernés. En effet, entre créer du chiffre d’affaire et réorganiser l’accès aux données, la priorité va être rapidement donnée au C.A. de l’entreprise. Par ailleurs, il faut bien comprendre qu’il n’est pas toujours évident pour l’entreprise d’identifier la provenance de la demande ou si le formalisme est bien respecté.

Il faut savoir que tout organisme a un mois en général pour répondre au demandeur et le délai peut être réduit à 8 jours dans le cas de données de santé.

Un traitement plus long d’une demande ou tout simplement une absence de réponse créera un manque de confiance entre la personne requérante et votre entreprise. De plus, cela nuira à votre image. Ces manquements, en cas d’actions en justice, peuvent avoir des répercussions lourdes pour votre entreprise y compris sur votre trésorerie mais aussi votre fonctionnement.

Il est à noter que les entreprises et administrations font face à des demandes de plus en plus nombreuses par des personnes de mieux en mieux armées pour se défendre aux niveaux législatif et juridique. Les demandes viennent de plusieurs profils que ce soient des clients, des usagers, des employés ou même, à défaut l’Etat ou certains fournisseurs voulant faire exercer leur droit.

L’automatisation, la solution sécurisée

Aussi, conscientes de l’utilisation et de la valeur de ces données personnelles, peu équipées et se sentant souvent seules face à cette nouvelle réglementation car peu encadrées de leur côté, les entreprises peuvent parfois agir dans l’excès et de façon désordonnée, alors qu’elles encourent le risque d’être soumises à des amendes. La plupart des sociétés ne disposant pas de vision à 360 de l’ensemble des données à caractère personnel qui circulent en entreprise, on constate rapidement qu’il est difficile d’établir une cartographie des lieux et des risques dans ces conditions.

Afin d’endiguer ses risques, il est intéressant de se pencher sur les solutions d’automatisation proposées aujourd’hui dans le milieu de la data. Intéressons-nous plus précisément à l’automatisation robotisée des processus (Robotic Process Automation - RPA).

Concrètement de quoi s’agit-il ? Imaginez un  robot logiciel capable d'exécuter des tâches pré-programmées. Pouvant capturer et interpréter des informations déjà intégrées dans diverses applications, dossiers ou fichiers de votre entreprise, cette technologie, combinée à un moteur de règles comme celui de Prolicent, vous permet d’automatiser les actions liées au RGPD dans la gestion et le traitement de vos données.

Ce Saas, s’il présente l’avantage de répondre à toutes les fonctionnalités spécifiques du RGPD, garantit aussi et surtout un soutien puissant au DPO, ou du moins au responsable de traitement de l’entreprise. Loin de prendre la place de l’humain, le logiciel développé par Prolicent vous permet de garder la logique métier nécessaire sans dénaturer le fonctionnement de votre société mais en apportant un réel gain de productivité.

ProLicent vous propose une solution de gestion des demandes de droit orchestrée par la robotisation logiciel UiPath. Cela permet de gérer toutes les données personnelles où qu’elles soient conservées dans votre entreprise. Cet outil cartographie l’ensemble des traitements des datas dans l’écosystème de votre entreprise. Loin de se limiter à un site, il regroupe les informations hébergées dans les succursales ou les sous-traitants avec lequel vous travaillez notamment à travers différentes applications utilisées au sein des systèmes d’information.

Le module de gestion des demandes des droits est configuré pour répondre à tous les types de requêtes :droit à l’information, droit d’accès, droit de rectification ou d’effacement ...Le logiciel de Prolicent sert d’interface entre le « client » (bien souvent le DPO) et le RPA . Il décrypte la demande effectuée et c’est le robot qui va aller à la recherche de la data entre différentes sources : CRM, application, ERP, etc.

En choisissant de mettre en place la robotisation du process RGPD, vous permettez à votre entreprise de gérer la fluctuation des volumes de demandes. La charge de travail est mieux supportée et cela diminue fortement l’impact au niveau des différentes ressources mobilisées. De plus, cela vous permet de respecter les délais dans lesquelles vous devez fournir l’information en vous affranchissant du risque d’erreur dû à l’intervention humaine. La gouvernance de vos données bénéficiera ainsi d’une assurance qualité non négligeable notamment en cas de contrôle.

Par ailleurs, il ne faut pas sous-estimer les gains de temps de l’ordre de 70% sur le traitement des opérations et une optimisation des coûts d’exploitation d’environ 45%.

Vous l’aurez compris, si leRGPD a le mérite de protéger nos données il met aussi une grande pression sur toutes les entreprises et demande une mobilisation interne importante dans le cadre d’une mise en conformité ou de restitution de données. C’est donc le moment idéal pour transformer cette contrainte réglementaire en opportunité d’amélioration en optant pour un outil performant comme Prolicent.

ARTICLE RÉDIGÉ PAR : Aurélie PARIS

Contact us

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Privacy Shield : Le coup d’arrêt de la Cour Européenne
July 31, 2020

Les données personnelles provenant de l'UE peuvent-elles être transférées et stockées aux États-Unis tout en garantissant un niveau de protection des données adéquat comme celui prévu par le RGPD ? La récente décision de la CJUE d'invalider le « Privacy Shield » change complètement la donne vis-à-vis des flux de données à caractère personnel de l'Europe vers les États-Unis

Read more
Les acteurs du Numérique
July 31, 2020

Le 9 avril 2020, un collectif de 200 entrepreneurs du numérique français interpellait le Gouvernement sur la priorité à donner à la souveraineté et à la confiance numérique. Un changement de cap majeur dans la stratégie digitale de l’Etat français est réclamé via trois objectifs dont notamment l’attribution pour au moins 50 % des marchés publics aux entreprises européennes dont 25 % à des PME. La création d’un index des sociétés françaises et européennes proposant des solutions souveraines fait aussi parti des recommandations à mettre en place rapidement ainsi que des dispositifs incitant au développement des solutions numériques souveraines.

Read more
RGPD/GDPR : mai 2018 ?
July 31, 2020

Le règlement européen en matière de protection des données à caractère personnel ou RGPD (GDPR en Anglais) est la nouvelle réglementation européenne qui s’applique à toute organisation, publique ou privée, traitant des données relatives aux personnes physiques avec lesquelles elles interagissent (clients, prospects, employés, partenaires, …)

Read more
Contactez-nous dès aujourd’hui
GDPR Management Platform
Rejoignez ProLicent