Comment considérer les solutions de communication et de collaboration en regard du RGPD ? Représentent-elles un danger ? Alors que l’échéance de la mise en conformité des organisations est proche, quelle attitude adopter ?
La course à la conformité a été lancée voici plusieurs années, et les organisations sont désormais dans la dernière ligne droite de la mise en conformité au RGPD/GDPR, à l’échéance du 25 mai 2018. Seront-elles prêtes à cette date, malgré le risque que comporte le volet répressif ? La réponse est non, les retards se sont accumulés et les entreprises qui seront totalement conformes sont encore trop peu nombreuses. Pour autant cela ne met pas les autres organisations en danger… voici pourquoi !
A n’en pas douter, le RGPD, le Règlement européen pour la protection des données personnelles, est une contrainte, comme toute nouvelle réglementation. De plus, il s’applique à toutes les organisations qui ont des clients internes comme externes, et qui à ce titre traitent et conservent des données personnelles. Ainsi concerne-t-il les solutions de communication, de conversation et de collaboration, comme les UCC (Unified Communications and Collaboration).
Pour atténuer la douleur des organisations, il faut rappeler que le RGPD a le mérite du pragmatisme. Tout d’abord, il s’applique à tous dans le cadre de la Communauté européenne, ainsi qu’aux entreprises qui résident hors de l’Europe mais traitent des données personnelles de ressortissants européens. Egalement, le règlement n’exige pas la perfection, s’il s’applique dans un cadre, celui-ci reste souple, et il est demandé aux entreprises de le mettre en application dans une démarche d’amélioration continue. C’est la bonne foi et la volonté affichée de respecter le Règlement qui dominent, et la CNIL, en charge de son application, a indiqué qu’elle fera preuve de souplesse.
L’impact sur la communication et la collaboration
Les organisations qui déploient des solutions de communication et de collaboration sont évidemment impactées par le RGPD. Ces solutions sont destinées à protéger les données privées des individus qui composent l’entreprise, souvent aujourd’hui élargies à ceux qui entrent dans son écosystème. Dès que la solution collecte ou exploite des données personnelles, un simple fichier utilisateur ou un fichier d’annuaire LDAP par exemple, et elle est concernée par le Règlement.
Le RGPD, nous en faisons le constat, est donc une contrainte. Mais représente-t-il un danger ? Paradoxalement, pour répondre à cette question il faut se pencher sur les défis liés à l’élaboration d’une stratégie de conformité RGPD. Et reconnaitre que les législateurs européen, plus que de contraindre les organisations, leur donnent un coup de pouce pour devenir meilleures ! Certes, certains réfractaires aux réglementations diront que c’est une vue de l’esprit, et que le RGPD met les entreprises en danger. Mais regardons ces défis de plus prêt.
L’entreprise qui souhaite se mettre en conformité avec le RGPD – a-t-elle d’autre choix ? -, en particulier sur les UCC, doit relever quatre défis :
1La protection des données et la confidentialité
Les organisations doivent évaluer la manière dont elles collectent les données personnelles et être capable de répondre publiquement à leurs intentions, avant de les collecter. Et cela même dans le cadre des outils de communication et de collaboration. Voilà qui a le mérite de nécessiter l’inventaire des données et des bases, un domaine souvent laissé en jachère par les entreprises où peu de personnes savent où sont les données, ainsi que de déclarer une politique clairement définie. L’organisation ne peut qu’y gagner en clarté et en efficacité, et les UCC bénéficier d’un nettoyage de leurs base toujours bienvenu.
2Le droit des clients et des employés
Des politiques visant à guider l'utilisation des données et leur mise en conformité avec le légal et le réglementaire dans la compliance de l’entreprise sont généralement en place, elles sont même fortement conseillées dans le cadre des UCC, mais le problème est que ces politiques ne doivent pas entrer en conflit avec d'autres règlements sur la protection de la vie privée. Ces politiques doivent être revues en tenant compte du RGPD. Mais son extension communautaire est un avantage certain car il uniformise des pratiques jusque là largement concurrentielles et déficitaires face aux géants internationaux (on pense en particulier aux GAFA) au sein de l’Europe.
3La gouvernance et la surveillance
Les entreprises s’ouvrent de plus en plus à leurs employés, à leurs écosystèmes, aux pratiques de la mobilité, et à l’usage de données personnelles à des fins d’échange et de partage, mais également commerciales. Les régulateurs et les réglementations du RGPD exigent désormais que les organisations développent des procédures et contrôles internes solides pour gérer efficacement les risques associés. Ce qui s’accompagne également d’actions d’audit (l’étude d’impact a été rendue obligatoire), de cartographie des données, ou encore de révision des contrats, une saine remise à plat des pratiques des entreprises, car reconnaissons-le elles sont très nombreuses à en nécessiter le besoin, même s’il n’est pas nécessairement exprimé.
4La conservation, l’archivage ou la destruction de l’information
Déterminer quel contenu est considéré comme une communication ‘commerciale’ et quand ce contenu devrait être capturé et archivé est plus compliqué qu'il n'y paraît. La mise en œuvre d'un système qui capture efficacement l'historique des échanges et les enregistre en tant qu'archives officielles et valides est une étape clé vers la conformité au RGPD, ainsi que la conformité à d'autres réglementations dans toutes les industries. Ces obligations renvoient également sur un autre domaine qui doit accompagner le RGPD : la documentation. En effet, la conformité et ses processus doivent être documentés, une obligation que les organisations qui ont mis en place un CIL (Correspondant Informatique et Liberté) ont déjà pratiqué. Et un avantage certains pour l’entreprise dans la connaissance de ses process internes et de ses pratiques. Les entreprises pourront s’appuyer sur leurs solutions UCC qui intègrent cette dimension d’archivage de la donnée, et dont les paramétrages permettront l’adaptation aux exigences réglementaire.
En conclusion
Certes, le RGPD apporte une couche de complexité aux organisations, qui touche également aux usages et aux outils de la communication et de la collaboration. Mais cette complexité doit être minimisée, tout comme le coût de la mise en conformité des entreprises, d’ailleurs. Nous l’avons vu, ce serait une erreur que de voir le RGPD comme un danger ! C’est au contraire une opportunité pour obtenir une meilleure connaissance de l’entreprise, de ses processus et pratiques, de ses composantes humaines, mais aussi de ses faiblesses. C’est également l’occasion de bâtir des avantages reposant sur la confiance, en établissant une relation et une communication saine avec et entre les femmes et les hommes qui font sa richesse et sa diversité. Et l’adoption d’une solution UCC vient renforcer et simplifier cette démarche, à la condition qu’elle propose les outils qui respectent la conformité au RGPD, ce qui la moindre des choses aujourd’hui !
Image d’entête 934105084 @ iStock Good-Stock