Cinq idées reçues sur le RGPD
Plus de deux ans après l’entrée en vigueur du RGPD, nous rencontrons encore souvent des à priori et des fausses idées.
Il nous apparait dont important d’en traiter quelques-uns.
Idée reçue numéro #1 : « Le DPO, c’est pour les grandes entreprises ou les sites e-commerce »
Le RGPD impose un DPO (Digital Protection Officer) dans plusieurs cas de figure. Notamment pour les organismes publics ou encore pour les entreprises qui manipulent des données à caractère personnel à grande échelle et de manière systématique.
Au-delà de ces cas, la désignation est fortement recommandée pour assurer un suivi réel de ce projet à part entière qu’est la conformité au RGPD. Au sein de l’entité, le DPO joue le rôle d’un conseiller et d’un chef d’orchestre, il informe les responsables de leurs obligations et, plus globalement, mène des actions de sensibilisation.
Idée reçue numéro #2 : « Le RGPD, c’est avant tout un problème de juriste »
Autant le respect de la loi Informatique et Libertés était considérée comme une problématique technique, autant le RGPD, vu la complexité du texte, est souvent délégué aux juristes. C’est une erreur car la mise en œuvre du règlement passe justement par une collaboration étroite entre les compétences juridiques, techniques et les métiers.
Idée reçue numéro #3 : « Le consentement est obligatoire »
C’est inexact, il existe de nombreux autres éléments qui peuvent justifier un traitement de données à caractère personnel : pour une entreprise, on trouve notamment l’execution d’un contrat ou une obligation légale, pour une collectivité l’intérêt public ou l’autorité publique. Le consentement est donc une justification parmi d’autres. D’ailleurs, nous conseillons de ne l’utiliser qu’en dernier recours car même s’il est plus connu, il est aussi plus contraignant.