Légèreté de l’approche du RGPD et ses conséquences

Peut-être devrions-nous éventuellement changer le titre en s’approchant du roman de Milan Kundera « L’Insoutenable Légèreté de l’être », écrit en 1982 et publié pour la première fois en 1984, en France et choisir le titre « L’Insoutenable Légèreté de l’approche au RGPD ». 

  • Le premier est un Roman, s’il ne vous plait pas, au pire, vous n’aurez perdu que son prix d’achat et vous gardez toujours la possibilité d’en faire cadeau.
  • Le second n’est pas le titre d’un  roman mais de la réalité actuelle et future sur les sanctions que risquent les entreprises à ne pas mener de réflexion introspective suffisante sur leur organisation concernant la protection de leurs données à caractère personnel.

Beaucoup d’entreprises continuent à ne pas faire attention à leur mise en conformité ou font la sourde oreille.

Trop souvent, ils restent légers dans les prises de décisions de leur mise en conformité au RGPD.

Certains même estiment être conformes juste en écrivant quelques lignes sur leur site web.

Nous vous informons aujourd’hui sur les sanctions imposées par la CNIL concernant la légèreté de conformité de certaines organisations.

La formation restreinte de la CNIL a prononcé une sanction de 180 000 euros à l’encontre de la société ACTIVE ASSURANCES  pour avoir insuffisamment protégé les données des utilisateurs de son site web.

 

Bien entendu la décision est argumentée mais ce qui est à prendre en compte dans le prononcé est le mot insuffisamment.

https://www.cnil.fr/fr/active-assurances-sanction-de-180-000-euros-pour-atteinte-la-securite-des-donnees-des-clients

Ce mot signifie que chaque entreprise doit mener une réflexion sur le risque et l’impact des mesures qu’elle prend.

Ce qui est, actuellement, loin d’être le cas, ce n’est pas forcément lourd comme travail mais demande de se pencher sérieusement sur le problème.

Le RGPD est, de notre point de vue, un bras de levier extraordinaire pour parvenir à mener une réflexion sur cette approche.

La norme ISO 9001/2015 insiste sur l’approche par le risque mais est souvent minimisé dans les organisations.

Qu’elle peut en être la raison ?

Les dirigeants sont en permanence au contact du risque, c’est le propre de tout organisme, de plus, il repose sur trois notions importantes :

La notion de risques

La notion de combat

La notion de séduction

Le souci est que, concernant la notion de risque, on s’y habitue aisément, le risque est une notion abstraite, on le minimise, on le nie, on l’ignore jusqu’à ce que l’on y soit concrètement confronté et, malheureusement, cela n’arrive pas qu’aux autres.

Qu’est-ce que le risque ?

C’est un danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité.

C’est l’éventualité d’un événement futur, incertain ou d’un terme indéterminé, ne dépendant pas exclusivement de la volonté des parties et pouvant causer la perte d’un objet ou tout autre dommage.

La notion de risque étant inhérent et indissociable de la notion d’entreprise, pouvons-nous dès lors nous prémunir de tous risques ?

Visiblement, il est plus qu’improbable de parvenir à éviter un danger dont la nature est imprévisible et reste une éventualité parmi d’autres.

Néanmoins nous devons, à tout le moins, faire en sorte de ne pas tomber dans les pièges que nous tendent les risques.

Les pièges

  1. L’immobilisme

L’immobilisme serait de considérer la prévention des risques comme devant être conçue en fonction du risque et d’attendre de connaître les caractéristiques du risque avant d’en définir les “règles” de la prévention.

         2. La négation du risque

Notre nature humaine ne semble pas accepter l’idée du risque. Mais, que l’on aime ou que l’on n’aime pas le risque, nous devons bien constater que l’on ne progresse que dans et par le risque.

Progresser c’est faire autre chose, faire ce qui n’a pas encore été fait.

Le fait même qu’il s’agisse d’une chose nouvelle est lié de façon absolue à la notion de risque, le risque d’erreur, le risque d’échec, le risque de ruine.

Les risques seront donc toujours au cœur de notre développement et la maîtrise d’un risque sera toujours suivie par l’apparition d’un risque nouveau que nous devons étudier, comprendre et gérer

           3. La règlementation

Le troisième piège serait de laisser à la règlementation le soin de définir toutes nos attitudes de prévention.

La tentation est grande de se référer en tout et pour tout aux procédures et instructions, mais généralement, le texte reste flou et mal adapté aux situations nouvelles rencontrées.

Les normes ne pourront jamais éliminer les risques liés à l’exécution de nos métiers respectifs, mais nous imposent de respecter des règles qui nous aideront au quotidien à mieux les maîtriser.

Si nous ne respectons pas de façon systématique les règles que nous imposent ces normes, nous tomberons dans le second piège tendu par l’entreprise qui sera la négation du risque et inconsciemment nous irons à l’encontre d’un risque qui pourra être grave ou fatal.

Les raisons pour le recours à l’approche par les risques.

Les retombées positives de la mise en œuvre de l’approche par les risques sont les suivantes :

  1. Améliorer la gouvernance de l’organisme
  2. Se porter plus sur l’action et instaurer une culture proactive
  3. Améliorer la conformité aux exigences
  4. Améliorer la qualité des produits et services
  5. Améliorer la satisfaction des clients
Accompagnement
Accompagnement