Retour sur une année riche en évènements ...
Tout d’abord, la publication de la loi CNIL 3 du 20 juin 2018 a décliné les spécificités de la règlementation française ; les délibérations CNIL du 11 octobre ont quant à elles, éclairé les modalités de recours aux analyses d’impact sur la vie privée : les fameux PIA.
Enfin, l’ordonnance 2018-1125 du 12 décembre a permis une lecture facilitée en mixant les éléments applicables du RGPD et les spécificités de la loi française contenu dans la loi CNIL3.
Dans le même temps la CNIL a renforcé la médiatisation de ses décisions, je pense à Malakoff Médéric ou Optical Center ; lequel a encore bénéficié d’un peu de publicité sur le sujet lorsque le Conseil d’état a décidé de ramener l’amende à 200 000€ au lieu des 250 000€ infligés par la CNIL. Même si le contrôle était antérieur au RGPD, la publication de la décision servait à sensibiliser et informer.
Ces contrôles de la CNIL, dont les sanctions sont souvent publiques, ont participé à la prise de conscience des utilisateurs, à la fois des risques encourus, mais également des droits attachés à leurs données personnelles.
Au fond, la loi de 78 garantissait déjà la plupart de ces droits, mais il faut bien avouer qu'elle n’était pas toujours connue par les acteurs.
Sur le terrain que se passe-t-il ?
Pour des organismes où la loi de 78 est appliquée à minima, le RGPD s’apparente à un tsunami, dont l'amplitude est plus ou moins grande selon la maturité du système d’information ; Le phénomène sera également amplifié par un état embryonnaire de la démarche qualité.
La question est de savoir si cette mise en application s’est accompagnée de de la transformation des organismes concernés, et comment ?
Première constatation : Si le RGPD est vécu comme une énième contrainte inutile et que le but recherché n’est que la conformité bête et méchante : on va dans le mur !
Pour résumer, le RGPD doit être le nuage de lait dans le thé de la structure ; Cela veut dire qu’il doit coller aux préoccupations de celle-ci et s'y dissoudre. Le RGPD est certes un projet à part entière, mais il doit savoir se faire oublier pour se fondre dans tous les autres ;
Plus il correspondra aux préoccupations du moment, plus l’acculturation des acteurs en sera facilitée.
Par exemple, on commence par mettre un peu de lait dans le thé des RH si l’heure est à la transformation des institutions représentatives du personnels en CSE.
Par contre, si le sujet est le prochain déploiement d’un logiciel métier, on va commencer par passer au crible les dossiers d’accueil, les informations demandées et leur partage, de façon à réaliser un minimum d’harmonisation des pratiques, ce qui facilitera à terme, la prise de greffe du logiciel.
Pour ma part, je m’appuie énormément sur la démarche qualité qui est souvent un vrai sujet dans les organisations.
Car peu d’organisations continuent à refuser de voir la nécessité de la traçabilité, aussi bien des actions que des informations et c’est en cela que les choses ont changé par rapport à il y a un an.
Alors quels sont les bénéfices induits de la mise en œuvre du RGPD ?
La démarche est incontestablement le terreau qui permet aux associations de prendre la mesure de la nécessité d’un système d’information structuré. Par exemple, on passe souvent d’un système ou les informations s’échangent en pièces jointes dans un mail à une base commune avec des droits d’accès définis et des liens envoyés au utilisateurs.
Ce qui participe aussi à la démarche RSE en réduisant le volume des informations échangées et donc l’empreinte carbone.
D’autre part, de fil en aiguille, pour ceux qui ne sont pas équipés, la prise de conscience de la nécessité d’un dossier unique informatisé de la personne accueillie fait son chemin : Il facilite le partage sécurisé des informations et permet de garantir le respect des préconisations de conservation par des procédés automatisés inclus dans le logiciel.
C’est anecdotique, mais le volume des archives papiers diminue également dans bien des structures qui avaient pour habitude de conserver le plus de documents possibles « Au cas où » !
Et les personnes accueillies dans tout ça ?
Je dirai qu’au-delà de la traçabilité des actions qui n’est pas nouvelle, je remarque aussi une vraie préoccupation des organismes de rendre ces concepts intelligibles. Les essais de réécriture en FALC se multiplient ; ils vont au-delà des droits attachés aux données à caractère personnel pour s’étendre souvent à la charte complète des droits de la personne accueillie.
Les pratiques sont réinterrogées et les partages d’informations entre les différents acteurs, permis par l’article 1110-6 et l’ordonnance 2018-20 du 18 janvier 2018, sont légitimés s’ils sont pertinents.
Pour terminer, il me semble que le mariage arrangé du secteur social ou médico-social et du RGPD, pourrait bien devenir à terme … un mariage d’amour !
La suite dans un an …