En place depuis le 25 mai 2018, le RGPD (Règlement général sur la protection des données) va bientôt fêter son premier anniversaire. L’occasion de revenir sur le sujet avec Charles du Boullay, président de CDC Arkhinéo, la filiale de la Caisse des Dépôts qui assure la conservation de documents électroniques à valeur probatoire.

Alliancy. Où en sont les entreprises françaises par rapport à la mise en conformité au RGPD ?

Charles du Boullay. Depuis septembre dernier, systématiquement, dans les nouveaux contrats que l’on signe avec nos clients, le sujet du RGPD est posé, même s’il n’est pas toujours très bien compris. Les menaces de sanctions font très peur à tout le monde. Il faut donc être en conformité. Mais, globalement, les entreprises françaises sont sensibilisées, ce qui ne veut pas dire obligatoirement prêtes.

Concernant CDC Arkhinéo, qu’a changé le RGPD ?

Il a fallu cartographier les risques liés au traitement des données et nommer un délégué à la protection des données (DPO). Sur le plan technique, cela par contre n’a pas changé grand-chose, car tout ce que nous faisons était déjà RGPD compatible. On n’a pas eu d’évolution particulière à faire si ce n’est par rapport à nos anciens contrats. Pour une petite centaine d’entre eux, nous avons dû faire un avenant sur le cadre juridico-contractuel, comme l’obligation de mettre une durée de conservation par exemple. Par contre, ce n’était pas toujours le cas chez nos clients ou nos prospects qui n’avaient pas tous anticipé ce changement. Mais cela a permis à tous de réfléchir à ce que je conserve, comment je le fais, quelles sont les données à caractère personnel dont je dispose…

Voyez-vous une approche différente du RGPD selon les secteurs d’activité ?

Clairement, le secteur de la banque-assurance est plus avancé. C’est le poids de leur organisation, de leurs   clients, de l’histoire… Il y a aussi certains des Gafa qui ont réagi très vite en publiant sur leurs sites de nouvelles règles. Ils savaient qu’ils étaient attendus sur le sujet, d’où le fait qu’ils ont mis les moyens pour être RGPD compatibles.

En 2019, CDC Arkhinéo va continuer à investir pour protéger les données qui lui sont confiées. Voyez-vous un nombre grandissant de cyberattaques ?

Il y a de plus en plus d’essais de cyberattaques et les entreprises sont de plus en plus sensibles à ce sujet et concernées par le vol de données. C’est pourquoi on s’attache à disposer de toutes les certifications nécessaires et à respecter toutes ces normes. C’est un ensemble d’actions qui sont suivies par une personne à temps plein chez nous.

CDC Arkhinéo participera prochainement à la Paris Healthcare Week (21-23 mai 2019). Quels sont vos objectifs dans le secteur de la santé ?

C’est un domaine en forte croissance, où il va y avoir besoin de sauvegarder de nombreuses données. Notamment toutes celles issues des différents objets connectés que mettent sur le marché les professionnels. Par ailleurs, dans la relation contractuelle entre le patient et le professionnel de santé, en matière de consentement par exemple, tout n’est pas encore bien fait, et encore moins correctement archivé. Ce sont des sujets qui vont évoluer au vu de leur importance et sur lequel nous voyons un potentiel important, peut-être même davantage que sur les données de santé dans l’immédiat.

Des doutes subsisteraient encore à propos de la confidentialité des données dans le cloud. Quel est votre avis ?

Techniquement, oui, cela pourrait se faire. Maintenant, si jamais les grands hébergeurs américains le faisaient, le risque en termes d’image est tellement élevé pour ces entreprises, que je ne peux pas imaginer qu’elles le fassent. Elles n’y ont aucun intérêt.

Sur cette question du RGPD, où en sont les collectivités locales ?

Elles sont sensibilisées également, mais c’est un enjeu économique important dont elles n’avaient pas réellement conscience. Elles n’ont pas obligatoirement anticipé le budget pour le mettre en place, ni les compétences nécessaires. Créer un bouquet de services aux citoyens… a un gros impact sur les données personnelles et les différents services qui les traitent. Le RGPD n’est pas un enjeu technique, ni seulement juridique, mais de conduite du changement transverse. Pour un partage des données, il faut que tout le monde soit au même niveau de maturité. Le RGPD a été vu au départ comme une contrainte, alors que c’est bien une opportunité.  La conséquence c’est qu’il faut former, anticiper les budgets, nommer des DPO… On voit une bascule sur tous ces sujets aujourd’hui, grâce notamment au travail de sensibilisation et d’accompagnement réalisé par la Cnil depuis un an.

* La solution en mode SaaS de CDC Arkhinéo d’archivage électronique est certifiée Afnor NF 461, ISO 27001, agréée par le SIAF et le Ministère de la Santé et doublement qualifiée eIDAS pour la validation et la préservation des signatures et cachets électroniques.

Lire aussi sur ALLIANCY

Charles du Boullay (CDC Arkhinéo) : « Nous espérons atteindre les 5 milliards d’archives en 2020 »