I – Propos préliminaires :
La GDPR ou General Data Protection Regulation. Nous sommes en présence d’un sujet d’envergure et d’une réelle complexité que nous ne devons pas prendre à la légère.
C’est une réglementation européenne édictée en 2015 qui doit entrer en vigueur au 25 mai 2018, soit dans moins d’un an.
Toutes les entreprises ou plutôt toutes les organisations (le terme « entreprise » me paraît trop restrictif pour la compréhension de cette réglementation) quelles qu’elles soient (forme juridique, mode d’organisation, secteurs privé et public, type de clientèle, partenaires externes, collaborateurs internes…) y sont assujetties en termes de données personnelles.
Mais qu’est-ce qu’une donnée personnelle me direz-vous ? Il s’agit de toute composante d’information personnelle collectée, traitée et stockée dont l’utilisation peut directement ou indirectement identifier une personne.
Juridiquement, et socialement, chaque citoyen bénéficie d’un droit fondamental et inaliénable à la protection de sa vie privée et de ses données personnelles.
A cela, il convient d’ajouter la notion d’identification indirecte qui a également un intérêt majeur : si une entreprise ne peut déterminer directement l’identité d’un individu à partir des données collectées, un tiers pourrait potentiellement le faire.
« Tout juriste et tout acteur de la conformité bénéficient d’une certaine dose d’humour et ils ne sont pas des êtres « froids » arcbouter sur les règlements (ou policies) :
« Un nouveau règlement européen (GDPR), à destination des entreprises, veut simplifier, harmoniser et renforcer la protection des données personnelles. » »
Que de décisions irrationnelles prises en ton nom! Que de catastrophes en cours ou à venir (liste non exhaustive) :
- Décider sans réfléchir et sans prendre en compte son organisation, devant cette nouvelle complexité, et se mettre immédiatement à la recherche de logiciels de conformité GDPR : il y a de fortes chances de n’arriver qu’à un gaspillage inutile de ressources.
- Parcourir cette nouvelle réglementation sans en chercher la « substantifique moelle », ainsi que les effets induits, annexes et indirects..
- Travailler sur ce sujet en petit comité, sans y inclure, à un moment donné, l’ensemble des collaborateurs de l’organisation.
- Traiter ce thème comme une action de sécurité informatique ou comme une action ne relevant que de l’agencement de bases de données, de référentiels…
- S’abstenir de patiquer un inventaire exhaustif des bases de données existantes, d’établir un document détaillé de leurs structures, de leurs composantes, de leurs fonctionnements et de leurs interférences. Absence de réalisation de missions d’audit interne en la matière et de recommandations appropriées sur l’existant.
- Négliger de prendre en compte les éventuels changements organisationnels rendus « nécessaires » par l’application d’un tel texte.
- Décider que votre organisation ne sera, de toute façon, jamais en totale conformité, et qu’il vaut mieux s’en remettre à une implantation de logiciel de conformité GDPR, éventuellement couplé ou non aux logiciels de conformité déjà présents dans l’organisation, et se reposer sur la compréhension du texte par l »éditeur retenu.
- Demeurer inactif et évoquer la complexité du texte en cas de contrôle tout en espérant échapper à toute amende.
Qu’elle démarche sera la plus appropriée ? Celle du bon sens :
A – Dans un premier temps :
- Connaître dans le moindre détail son organisation et son fonctionnement en termes de collecte, utilisation et archivage des données personnelles. Il doit être tenu compte également des accès et des flux entre parties prenantes au sein de l’entité comme vis-à-vis de ses partenaires/intervenants externes.
- S’assurer de la prise en compte réelle de toutes les données personnelles disponibles, y compris les « données dormantes« .
- En profiter, au passage, pour s’assurer de la bonne conformité de l’organisation actuelle sur ce sujet et relever les corrections éventuelles à pratiquer par la suite.
B – Dans un deuxième temps :
- Décrypter, c’est-à-dire saisir au plus près possible l’essence du texte réglementaire et ses diverses implications (travail à réaliser dans la transversalité). Si vous ne disposez pas d’assez de temps ou de personnel bénéficiant de compétences pointues sur ces sujets, recherchez un organisme de formation spécialisé en la matière (avec comme optique : compréhension [explication de texte théorique], mise en réalité [ateliers ou travaux pratiques concrets], échanges de réalités « terrain » et d’expériences [évoquer ses problématiques et apprendre des animateurs et des participants par rapport à sa propre organisation et ses spécificités éventuelles] et, surtout, retour de « l’appris » par les participants (débriefing) vers les différentes entités de l’organisation).
- Être en mesure de définir et de calculer les risques liés à la réglementation RGPD.
- Définir les écarts entre la « réalité » de votre organisation et les obligations réglementaires nouvelles , tout en tenant compte des « irrégularités » constatées (confère point A – Dans un premier temps).
- Apporter les mesures correctrices là où cela est nécessaire.
⇒ Au passage : Cette réglementation représente-t-elle une opportunité pour votre organisation et, de ce fait, un « avantage concurrentiel » ? Il n’y a que vous qui pouvez le déterminer. Celà peut être une possibilité de ne pas appliquer simplement des règles « administratives » et juridiques de plus, mais d’utiliser la mobilisation des différents collaborateurs pour affiner votre stratégie (par exemples dans le numérique,…).
Mais comment pratiquer concrètement ? En intégrant la protection des données dès la conception des projets https://www.lesechos.fr/idees-debats/cercle/cercle-165052-transformer-le-gdpr-en-avantage-concurrentiel-en-integrant-la-protection-des-donnees-des-la-conception-des-projets-2058160.php
C – Dans un troisième temps :
- Réfléchir et décider de la nécessité d’incorporer un logiciel de conformité RGPD.
- S’assurer que le logiciel RGPD est « agile« , c’est-à-dire qu’il pourra s’adapter aisément aux évolutions futures :
- juridiques.
- organisationnelles.
- stratégiques.
⇒ Opinion : La GDPR, comme les autres éléments de la conformité, sont opérationnels, constants et censés représenter conformément la réglementation en vigueur. Mais compte tenu de la difficulté de « digestion » et de la « lourdeur » de ce texte, tout comme l’absence de best practices officielles, nous amène à une situation particulière.
A savoir, pouvoir justifier auprès :
- des autorités de contrôle d’avoir pris en considération les éléments principaux de cette nouvelle réglementation et ses déclinaisons, tout en démontrant la mise en place des process d’amélioration continue de façon à s’approcher au plus près de la volonté des législateurs européens et nationaux.
- de nos clients, prospects et partenaires de la sécurité des données confiées et, par delà indirectement, de participer à la protection de leur réputation et de leur image de marque.
Cette partie de la conformité se situe entre le principe d’assurance, principe de base de l’audit interne, et le strict respect de la réglementation imparti à la fonction Conformité. Il faut donc s’approcher le plus possible du principe « d’accountabilty« .
II – Protection des données personnelles : de nouvelles obligations pour l’entreprise :
Première chose à savoir, le RGPD entérine le principe « d’accountability ». Difficilement traduisible, cela signifie concrètement que l’entreprise doit mettre en place des mesures de protection des données appropriées et pouvoir, si la Cnil le lui demande, être en mesure de prouver qu’elle respecte bien le règlement. Les déclarations à la Cnil sont supprimées, tout comme les demandes d’autorisation préalables (pour mettre en place une vidéo surveillance des salariés, par exemples). L’Express : http://google.com/newsstand/s/CBIw9pu4kzU
III – Etat des lieux :
2/3 des entreprises sont encore en phase de décryptage des nouvelles obligations
À moins d’un an de l’application du règlement européen sur la protection des données personnelles, plus de 9 entreprises sur 10 ne sont pas prêtes à appliquer le GDPR (General Data Protection Regulation). Et pour cause : deux tiers pensent que le texte manque de clarté, selon une étude menée par le cabinet d’avocats international Bird & Bird.
Le sondage réalisé auprès d’un échantillon de 100 entreprises en mai dernier permet de tirer quelques enseignements sur le niveau de préparation des grandes entreprises (72 % des répondants) et les difficultés qu’elles peuvent rencontrer à mettre en pratique la nouvelle législation.
Plus de 9 entreprises sur 10 ne sont pas prêtes à appliquer le GDPR et plus inquiétant, pas moins de 53 % des sondés estiment qu’ils ne seront pas en mesure d’appliquer le texte dans son intégralité d’ici l’échéance du 25 mai 2018. Pourquoi ? Deux tiers des sondés pensent que le texte manque de clarté en particulier sur le droit à la limitation du traitement, le droit à la portabilité des données, l’obligation de privacy by design ou encore l’intégration des nouveaux droits des personnes, et que l’application du GDPR nécessitera l’assistance d’un conseil externe. Solutions numériqueshttp://www.solutions-numeriques.com/reglement-europeen-sur-la-protection-des-donnees-23-des-entreprises-sont-encore-en-phase-de-decryptage-des-nouvelles-obligations/?utm_source=Sociallymap&utm_medium=Sociallymap&utm_campaign=Sociallymap
IV – Les principes fondamentaux :
A – Nouveautés et difficultés à déterminer la notion de « risque élevé » :
Une des nouveautés absolues du Règlement général sur la protection des données, qui entre pleinement en vigueur le 25 mai 2018, ce sont les fameuses études d’impact placées sous l’entière responsabilité des responsables des traitements de données personnelles, autrement dit les chefs d’entreprises, présidents d’associations et autres dirigeants de structures publiques. Les Infostratègeshttp://www.les-infostrateges.com/actu/17072402/les-etudes-d-impact-nouveaute-du-reglement-general-sur-la-protection-des-donnees-rgpd
B – Les 16 concepts fondamentaux impactant fortement les stratégies de l’entreprise (selon Joseph Triquell – août 2017 : AroundRisk-IT) :
…
… il impactera fortement toute l’entreprise (chef d’entreprise, responsables de la conformité et de la sécurité, cadres, informaticiens jusqu’au développeur même …) et ses principales stratégies : conformité et sécurité juridique, capital immatériel, gouvernance des données et du système d’information, transformation numérique, gestion des risques et sécurité de l’information, veille stratégique et technologique, droits et devoirs des acteurs face au SI …
Vous pourrez le constater à la lecture des concepts fondamentaux (synthèse in fine) développés par ce règlement. Chefs d’entreprises, informaticiens, juristes, vous pouvez aisément imaginer ce que chacun de ces concepts impose en mesures techniques, organisationnelles, juridiques dans l’entreprise pour une mise en conformité !
Ces acteurs pourront s’appuyer sur un chef d’orchestre (qui sera désigné dans l’entreprise ou en externe): le délégué à la protection des données, un « ancien » CIL (« correspondant à la protection des données ») renforcé. Il semble utile de rappeler que cette exigence exprimée dans le RGPD peut être satisfaite même par des personnes dépourvues de diplôme en droit. Les associations européennes de DPO http://www.afcdp.net/Les-associations-europeennes-de lancent un appel pour éviter que la profession ne se sclérose sur les seuls profils juridiques ( les actuels CIL sont en majorité des informaticiens en France et Allemagne).
Véritable opportunité également pour l’informaticien de renforcer son évident rôle transverse et stratégique dans l’entreprise.
- 1. Traitement licite, loyal, transparent (nécessaire, bien argumenté, consenti clairement)
- 2. Finalités déterminées, fixes, explicites et légitimes
- 3. Traitement sécurisé (mesures techniques, organisationnelles, juridiques / dispositif d’alerte, de gestion d’incident et dispositif de notification (dans les 72H) des violations à la CNIL et aux personnes concernées)
- 4. Traitement particulier (règles) des données des mineurs de 16 ans
- 5. Données exactes, tenues à jour, adéquates, pertinentes et limitées (minimisation des données)
- 6. Durée de conservation adaptée aux finalités
- 7. Respect du droit d’opposition, d’accès, de rectification, d’effacement (« droit à l’oubli ») de la personne concernée
- 8. Respect du droit à la portabilité des données
- 9. Co-responsabilité des sous-traitants
- 10. Accountability (obligation de démontrer la conformité à tout moment), « délégué à la protection des données » (ou DPO (Digital Protection Officer), registre des activités (inventaire, cartographie), documentation interne argumentée et coopération avec la CNIL
- 11. Privacy by design (argumentaire/documentation sur les projets de traitement) : Garantie que la protection des données personnelles est assurée dès la conception des applications, sites Web et autres systèmes IT
- 12. Privacy by default : Garantie apportée lorsque les mesures de sécurisation sont intégrées nativement dans le service.
- 13. Analyse d’impact sur la vie privée (analyse et gestion des risques préalables à certains traitements de données)
- 14. Codes de conduite et certification (Accompagnement, labels, référentiels utiles aux entreprises)
- 15. Transfert des données vers des pays tiers – Privacy shield
- 16. Sanctions renforcées
AroundRisk-IT
C – Vous avez besoin d’arguments synthétiques pour convaincre votre COMEX :
V – L’impact de cette réglementation sur la conception et la sécurisation des applications, sites Web et autres systèmes IT :
Ce n’est pas surprenant si l’on considère les conséquences financières pour toute organisation qui n’arriverait pas à démontrer sa conformité : une amende pouvant aller jusqu’à 20 M € ou 4% des revenus (le montant le plus élevé sera retenu). Ces conséquences financières ont attiré l’attention de nombreux conseils d’administration à travers le monde. Désormais, les entreprises et leurs sous-traitants se précipitent pour savoir comment minimiser ce risque, en réalisant qu’ils ont tout juste un peu plus d’un an pour le faire, la loi devenant applicable à la fin du mois de mai 2018. La portée de cet effort est énorme, car il recoupe des phases d’inventaire et d’audit, la gouvernance des données et la gestion des risques, l’examen des clauses contractuelles, les pratiques de développement d’applications, les politiques de protection des données et de l’infrastructure, les capacités de détection et de réponse.
Au-delà de la menace financière, le régulateur européen vise à favoriser la prise de conscience collective concernant la confidentialité des données, incitant les organisations à améliorer leurs pratiques en matière de collecte, de traitement, de retrait et de sécurisation des données personnelles des citoyens de l’UE. À l’aube du Big Data et de l’Intelligence Artificielle, la philosophie sous-jacente du RGPD nécessite des ajustements importants dans la façon dont les applications sont conçues, mises en production et sécurisées.
Les développeurs d’applications doivent intégrer un nouvel ensemble d’exigences, couvrant la gestion du consentement, la minimisation et la pseudonymisation des données, et la possibilité pour les personnes concernées d’exercer leurs nouveaux droits : accès, modification, suppression, droit à l’oubli, portabilité, information relative à l’utilisation de leurs données, y compris pour la notation et le profilage, et en cas d’incidents. La capacité de fournir des applications qui sont à la fois sécurisées dès leur conception et qui respectent la confidentialité des données nécessiteront des ajustements liés au processus de développement des applications. Les équipes de développement doivent maintenant documenter tous les traitements relatifs aux données personnelles, recueillir uniquement les données nécessaires à la prestation du service, pouvoir répondre positivement aux demandes des citoyens concernant leurs données, déployer des contrôles de sécurité capables de protéger l’infrastructure applicative et être capable d’alerter les autorités dans les 72 heures en cas de violation de données (ainsi que les personnes concernées dans certains cas).
Tout cela, en étroite collaboration avec le Responsable de la Sécurité des Systèmes d’Information et le Responsable de la Protection des Données, qui aura été nommé conformément à la nouvelle loi européenne. ITR Managerhttp://www.itrmanager.com/articles/169253/impact-rgpd-strategies-conception-securisation-applications-stephane-saint-albin-directeur-marketing-denyall.html
VI – Du concept à la pratique :
Protection des données : les choses sérieuses commencent ou, plutôt, continuent.
A – Exemple étranger : la Suisse
Le nouveau règlement européen en matière de protection des données renforce les droits des consommateurs et donne de nouveaux devoirs aux entreprises. Le nouveau cadre concerne aussi les sociétés suisses. Fini le traitement «à la cool» des données des clients : les entreprises vont devoir transformer leur gouvernance. ICTjournal http://www.ictjournal.ch/articles/2017-06-02/protection-des-donnees-les-choses-serieuses-commencent
L’entrée en vigueur du Règlement général sur la protection des données (GDPR, ou General data protection regulation) en mai prochain modifie en profondeur la gestion et la conservation des données personnelles. A l’heure de la migration massive des données dans le cloud découvrez en détail les nouvelles obligations qui s’imposent aux entreprises, et les meilleures pratiques.
Les 7 étapes proposées :
- Etes-vous prêts pour le RGPD ? Voici la check-list !
- RGPD : pourquoi les entreprises sont-elles si réticentes ?
- La réglementation sur les données personnelles, une histoire mouvementée.
- Les 3 grands principes du RGPD
- 5 grandes étapes pour se mettre en conformité au RGPD
- Protection des données personnelles : Comment anticiper la réglementation GDPR ?
- Réglementation RGPD: Computacenter et HPE innovent avec une offre de service conjointe
ZDNet http://www.zdnet.fr/dossier/rgpd-tout-comprendre-4000237620.htm
Quelques lectures complémentaires :
Les collectivités se préparent au nouveau règlement général sur la protection des données
RAPPORT D’INFORMATION sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française
Data protection officer (DPO) : définition, formation et salaire
La fonction de DPO attise les convoitises et déclenche des luttes de pouvoirs dans les entreprises
Isabelle Falque-Pierrotin : « La période du chèque en blanc sur les données est terminée »
Trop de données « concurrentielles » en libre accès dans les entreprises
Règlement (UE) 2016/679 : la data compliance, un avantage compétitif pour les entreprises ?
Vers une certification européenne en matière de protection des données
Les nouvelles obligations des éditeurs de logiciels SaaS au regard du Règlement UE 2016/679 relatif à la protection des données à caractère personnel. — La cybercriminalité
La réforme des règles de protection des données personnelles : quels changements anticiper au sein de votre entreprise ?