object.title
Conformité RGPD : quelle approche adopter ?

Nous vivons actuellement, un incroyable essor de la valeur des données personnelles. D’ici 2020, leur capitalisation pourrait en effet valoir 1000 milliards d ‘euros par an (source : Boston Consulting Group). Sans compter les enjeux business et marketing ainsi que les actes malveillants qu’elles pourraient susciter. Les protéger devient donc essentiel.

Les principales évolutions du RGPD

Aujourd’hui, chaque état européen est constitué par une autorité en charge de la protection des données à caractère personnel, qui a plus ou moins définit un cadre législatif sur l’utilisation des données personnelles. En France, la CNIL est en charge du contrôle de l’application de la loi « Informatique et Libertés » du 6 janvier 1978. Ce cadre législatif définit les principes à appliquer lors de la collecte, du traitement et de la conservation de ces données.

La directive actuelle date de 1995 et n’avait pas prévu l’essor d’Internet, du Big Data, du Cloud ou encore de collectes massives de données à caractère personnel.

Le Règlement Général européen sur la Protection des Données (RGPD ou GDPR en anglais), entend uniformiser la protection des données au sein de l’Union européenne et mettre à jour le droit européen afin de protéger les citoyens européens contre l’utilisation frauduleuse de leurs données personnelles.
De plus, ce règlement prévoit une augmentation des sanctions financières, pouvant aller jusqu’à 4% du chiffre d’affaire mondial, et montre clairement un renforcement de la volonté à faire respecter les bonnes pratiques en termes de protection des données.

La mise en application de ce règlement pour l’ensemble des entreprises mondiales manipulant des données personnelles de citoyens européens est fixée au 25 Mai 2018. C’est un point important et un renversement à 180° dans la mesure où ce n’est plus l’entreprise ou le détenteur de la donnée qui est considéré mais le citoyen Européen, dont la donnée est détenue et pour lequel l’entreprise détentrice doit faire la preuve de sa sécurisation. Le RGPD restitue donc la propriété des données aux citoyens et non plus aux entreprises.

Les étapes d’une mise en conformité réussie

Les entreprises qui ne l’ont pas déjà fait, devront dans un premier temps nommer un Délégué à la Protection des Données (DPO), qui sera en charge de veiller à la bonne application du RGPD. Elles devront également effectuer un audit afin d’avoir un état des lieux sur la sécurité des données à caractère personnel et définir une feuille de route.

L’approche globale préconisée suit une démarche pragmatique afin d’organiser son plan de conformité :

  1. Réaliser une cartographie en identifiant précisément l’ensemble des traitements de données personnelles (Où les données sont-elles localisées ? Qui est le responsable de l’application ? Comment les données sont-elles protégées ? Etc.)
  2. Analyser le gap avec l’ensemble des exigences du RGPD
  3. Définir et prioriser les mesures correctives et les projets à mettre en œuvre
  4. Réorganiser les processus de gestion de projets en intégrant une démarche de Privacy by Design

Bien entendu, chaque entreprise aura ses propres problématiques :

  • Comment gérer les grandes quantités de données traitées par le Big data dans le domaine bancaire  ?
  • Comment anonymiser les données dans le cadre de calculs de statistiques chez les assureurs ? Une fois les données anonymisées, comment répondre à la demande d’un client qui souhaitent exercer son droit à l’oubli ou à la portabilité ?
  • Une entreprise ayant résolument adoptée le Devops, pourra-t-elle garantir la sécurité des données qui sont parfois répliquées sur des environnements de développement non maitrisés ?
  • Certaines entreprises ont également succombé aux tentations du Cloud : comment peuvent-elles maintenant garantir la sécurité de leurs données qu’elles ne maitrisent plus totalement ?

Chaque cas devra faire appel à des solutions adaptées. Par exemple dans le cadre de l’externalisation de données dans le Cloud, le client pourra demander à mettre en œuvre un Plan d’Assurance Sécurité, insérer dans le contrat des clauses de réversibilité, des clauses de localisation et auditer les fournisseurs.

Le DPO face à ses responsabilités

Face à cette diversité le DPO devra s’adapter et composer sa propre partition en faisant appel aussi bien à des instruments techniques, organisationnels et juridiques. Il devra également faire preuve d’un véritable leadership afin de mettre en œuvre une gouvernance transversale sur la protection des données.

Concernant la politique des autorités, il est fort à parier que, face à cette diversité et des niveaux de maturité très hétérogènes, elles devront adopter une approche pragmatique afin de vérifier dans un premier temps si une démarche a été initiée et que l’ensemble des exigences du règlement ont bien été prises en compte.

Plus concrètement, une entreprise ayant externalisé ses données RH sans les chiffrer ou sans établir de Plan d’Assurance Sécurité ne devrait pas être sanctionnée financièrement mais aura plutôt des recommandations à appliquer. Les contrôles et sanctions seront vraisemblablement moins tolérants pour les entreprises ayant déjà laissé fuiter de grandes quantités de données personnelles ou ayant basé leur business model sur les données de citoyens n’ayant pas donné clairement leur consentement…