Si chacun prétend être parfaitement conforme au RGPD (Règlement Général européen sur la Protection des Données Personnelles), les questions qui ont été et demeurent à traiter au quotidien restent nombreuses. Déjà, les réponses doivent être apportées pour garantir cette conformité. Et ce n'est pas gagner d'avance. Pour faire un point sur le sujet du RGPD, à l'occasion du premier anniversaire de son application, CIO organise une conférence sur le thème « RGPD, un an après - Du premier bilan aux bonnes pratiques », à Paris, le 21 mai 2019. S'inscrire à la conférence « RGPD, un an après ».

La première question à traiter, c'est bien sûr la sécurité. En effet, l'enjeu IT numéro un concernant les données personnelles est sans doute leur sécurité. Les obligations sont strictes (notamment de notification publique), les sanctions lourdes. A peu près au même niveau vient le consentement. Recueillir un consentement éclairé, précis et explicite puis en garder la trace : cela peut sembler simple au premier abord. Mais qui y parvient ?

Portabilité et localisation : deux contraintes à ne pas oublier

Souvent oubliée, la portabilité n'est pas la moindre difficulté du RGPD. En effet, le RGPD impose de pouvoir communiquer toutes les données possédées sur chaque personne en faisant la demande, données pouvant être transférées à un service concurrent. Encore faut-il pouvoir tout récupérer. Cela suppose une bonne interconnexion des différentes briques du SI et une claire identification des personnes.

Enfin, à l'heure du Brexit, la localisation des données peut redevenir une vraie difficulté puisque de nombreux datacenters se situent dans les îles britanniques. Rappelons que, malgré la tendance forte à privilégier le cloud, la réglementation impose de savoir exactement où sont toutes les données personnelles et à les placer dans des pays de confiance. Hors de l'Union Européenne, le Royaume Uni n'est plus un tel pays.