GDPR : plus qu’un an avant la mise en application, serez-vous prêts ?

à lire, à voir / News

Le règlement général sur la protection des données pour l’UE (GDPR) entrera en application le 25 mai 2018. Il a vocation à assurer aux personnes physiques que l’utilisation des données les caractérisant par une organisation respectera le droit fondamental à la confidentialité. Concrètement, ces personnes ont le droit :

  • de savoir de quelles données personnelles dispose l’entreprise et pour quel usage et de connaître les traitements qui leur sont appliqués,
  • de pouvoir déplacer les données d’une organisation à une autre (la portabilité) et de pouvoir demander que soient effacées les données dont une entreprise n’aurait plus l’usage ou le besoin (le droit à l’oubli).

Toute nouvelle conception d’un système d’information doit intégrer de manière native les règles de protection des données (le Privacy by Design).

De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. Toute organisation est par ailleurs, responsable de valider la conformité de ses sous-traitants
Enfin des dispositions prévoient des délais à respecter pour la déclaration des failles de sécurité (72 heures) ou pour restituer les données personnelles (30 jours).

Cette nouvelle règlementation va avoir un impact fort pour les entreprises pour 2 raisons:

  1. Tout d’abord les consommateurs sont de plus en plus sensibles à la protection des données personnelles. L’enquête elab publiée par Mazars à l’occasion de l’événement Trust & Privacy 2017, organisé en mai dernier montre que 83% des français estiment que la protection des données personnelles est un sujet qui les préoccupe. La confiance envers la marque qui utilisera ces données deviendra de plus en plus un critère de choix. Ainsi, l’étude révèle que 80% déclarent qu’ils privilégient une entreprise ou une marque qui leur inspire confiance dans sa gestion des données personnelles lorsqu’ils ont à choisir entre plusieurs d‘entre elles.
  2. Par ailleurs, le montant des sanctions prévues par la règlementation peut monter jusqu’à 20 millions d’euros ou 4% du CA mondial.

Même si les sanctions ne tomberont pas dès le mois de mai 2018, il est important de s’y préparer, la CNIL sera attentive effectivement au fait que les entreprises concernées aient initié un plan d’actions permettant d’atteindre la conformité.

Concrètement, la CNIL recommande une démarche en 6 étapes que l’on peut synthétiser comme suit :

  • Des actions de mise en place d’une organisation adaptée : désigner un pilote (le Data Privacy Officer) : obligatoire dans certains cas de figure (notamment entreprises du secteur public), ce chef d’orchestre des actions liées à la protection des données personnelles est un élément clé du dispositif de mise en conformité, il prendra la suite du CIL (Correspondant Informatique et Liberté). Chaque entreprise doit également organiser les processus internes de gouvernance et protection de ces données.
  • Des actions de documentation et d’analyse : cartographier les traitements de données personnelles, il s’agit de l’élément indispensable pour pouvoir piloter la conformité. Un format de registre des traitements qui devra être géré par chaque entreprise est en cours de définition par la CNIL. Il faut également documenter la conformité : afin de prouver sa conformité, chaque organisation devra constituer un dossier documentaire permettant de démontrer que le traitement de données personnelles est conforme au règlement. Les mesures organisationnelles et techniques sont réexaminées et actualisées si nécessaire au fur et à mesure.
  • Des actions de pilotage permettant de prioriser les actions et gérer les risques : pour s’assurer que les risques majeurs liés à la protection des données gérées sont couverts, un plan d’actions doit être initié et suivi.

Le cadre juridique n’étant pas totalement figé (par exemple : modèle de registre des traitements, Privacy Impact Analysis), il est nécessaire de mettre en place une démarche pragmatique qui permette d’avancer au fur et à mesure que la législation se précise. La CNIL est en train de construire des packs de conformité sectoriels par exemple.

Les actions à lancer vont couvrir des domaines variés :

  1. identification des données,
  2. gestion des risques,
  3. organisation et processus,
  4. gestion de la conformité.

La sensibilisation des acteurs de l’entreprise au respect des principes sera une dimension importante d’un projet de ce type. De la même manière, tous les projets qui démarrent ou sont en cours devront intégrer la notion de privacy by design.

Pour que cette démarche soit efficace, il faudra également s’appuyer sur des solutions techniques qui permettent d’automatiser un maximum d’opérations de surveillance. Au-delà des solutions classiques de chiffrement des données ou de contrôle des accès classiquement utilisées, un écosystème de solutions est en cours de mise en place offrant tout un panel de solutions qui vont du recueil du consentement et production automatique de CGU, aux outils de cartographie des données, en passant par des solutions de gestion de portefeuille de données pour les particuliers et qui se voudront les intermédiaires entre la société et la personne physique ou aux solutions de cloud personnel. Les solutions d’anonymisation de données personnelles à des fins de tests vont aussi être importantes.

Mazars Advese peut vous accompagner : spécialisés dans l’accompagnement des DSI sur tout leur périmètre opérationnel et de par notre position d’auditeur informatique, nous sommes à même de vous aider dans les différentes étapes de la mise en œuvre de votre programme de conformité, que ce soit en phase de cadrage et d’élaboration du plan d’actions ou pour le pilotage du plan d’actions et son suivi dans le temps. Notre offre d’accompagnement des transformations des organisations, nous permet également de gérer avec vous, toute la sensibilisation et l’embarquement de vos équipes sur le sujet. Enfin, nous pouvons vous accompagner dans l’identification et le choix des solutions techniques les plus à même de répondre à vos enjeux.

Véronique BEAUPERE

Directeur, Mazars Advese

  • Twitter
  • LinkedIn
  • viadeo FR