Règlementation GDPR

Le jeudi, 24 août 2017. Posté dans Blog

Pour les organisations qui s’y sont préparées, le chantier sur la règlementation GDPR (ou RGPD en français) est déjà inscrit dans leur portefeuille de projets pour 2017. Cette anticipation devra leur permettre de mieux se préparer aux changements qui s’opéreront à partir de mai 2018.

Pour les autres qui ne savent pas encore par quel aspect entamer ce chantier (organisationnel, fonctionnel, technique, réglementaire…), elles doivent désormais s’en préoccuper. Car même si l’échéance parait encore lointaine, l’erreur la plus souvent répandue est de dire « on aura le temps d’ici là ! »

 

Or, le chantier sur la règlementation GDPR doit bien passer par un processus classique comme chaque projet de transformation numérique, à savoir l’élaboration d’un budget alloué, les ressources qui seront affectées au projet, le jalonnement du projet, les technologies nécessaires, la conduite du changement… Et tout cela prend du temps pour s’y préparer.

Mais de quoi s’agit-il exactement ?

Afin de mieux répondre aux questions que toutes les organisations se posent sur le GDPR, nous aborderons ce sujet selon une approche basée sur le « QQOQCCP », sigle résumant une méthode empirique de questionnement. Sa simplicité, son caractère logique et systématique font que beaucoup l'utilisent aussi pour structurer la restitution des résultats de leurs analyses (source: https://fr.wikipedia.org/wiki/QQOQCCP).

QQOQCCP, pour « Qui ? Quoi ? Où ? Quand ? Comment ? Combien ? Pourquoi ? »

Le « Qui » ?

Qui est concerné par la règlementation GDPR ?

Toutes les entreprises et organisations qui détiennent ou traitent des données personnelles de citoyens européens, sont concernées par cette nouvelle règlementation.

Cela concerne aussi bien les organisations privées et publiques, que les associations et autres organisations non gouvernementales, toutes tailles confondues.

Le « Quoi » ?

De quoi s’agit-il ?

Le GDPR (General Data Protection Regulation, ou RGPD pour Règlement Général pour la Protection des Données, en français) constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l'Union Européenne.

Après quatre années de négociations législatives, le nouveau règlement européen sur la protection des données a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions seront directement applicables dans l'ensemble des 29 États membres de l'Union Européenne à compter du 25 mai 2018.

Ce règlement remplacera l’actuelle Directive sur la protection des données personnelles adoptée en 1995 (article 94.1 du Règlement).

Source :https://fr.wikipedia.org/wiki/Règlement_général_sur_la_protection_des_données

 Quelles sont les obligations légales pour les entreprises ?

A compter du 25 mai 2018, toutes les entreprises devront avoir désigné un DPO (Data Protection Officer, ou Délégué à la protection des données personnelles en français).

Elles devront en autre, déclarer tout incident de sécurité lié aux données auprès de l’Autorité de Protection des Données (DPA pour Data Protection Authority), ce dans les 72h.

  • Ex. : dans le cas des Ransonware, les entreprises devront désormais signaler l’incident auprès du DPA.
  • C’est pourquoi la Protection des données personnelles doit devenir un vrai sujet pour l’entreprise.

Le « Où » ?

Quel est le champ d’application de GDPR ?

La nouvelle règlementation s’appliquera à tous les pays membres de l’Union Européenne, et aura comme portée un champ d’application mondial.

Le « Quand » ?

Quelle est la date d’entrée en vigueur de GDPR ?

La règlementation GDPR entrera en vigueur à compter du 25 mai 2018.

Quand faut-il initier le projet GDPR ?

Au vu des différents chantiers transverses que représentera la mise en conformité GDPR, il est fortement conseillé aux entreprises et organisations de prendre les devants et de mettre à l’ordre du jour le sujet GDPR.

Le « Comment » ?

Comment se mettre en conformité ?

La règlementation GDPR de par ses multiples exigences, est un projet transverse à l’entreprise.

Elle requiert donc l’implication de nombreuses fonctions au sein de l’organisation :

 

  • Direction des Ressources Humaines
  • Direction des Systèmes d’Information
  • Direction Marketing et/ou Commerciale
  • Direction Juridique
  • Direction de la Conformité, des Risques et du Contrôle Interne (Banque/Assurance notamment)

 

La première démarche consistera en la désignation officielled’un DPO (rendue obligatoire par la règlementation GDPR), qui devra constituer un Comité de Pilotage avec toutes les parties prenantes.

Bien entendu, une implication directe de la Direction Générale de l’organisation est fortement recommandée.

Concrètement, il appartiendraau futur DPO de :

 

  • S’informer sur les nouvelles obligations
  • Assister les décideurs sur les conséquences des traitements
  • D’en réaliser l’inventaire
  • Concevoir des actions de sensibilisation
  • Piloter en continu la conformité

 

Il devra être impliqué correctement et en temps utile dans toutes les problématiques liées à la protection des données à caractère personnel.

  • A ce titre, les ressources et le temps nécessaires à l’accomplissement de ses missions et à l’entretien de ses connaissances spécialisées devront impérativement lui être donnés.
  • Bien qu’il soit autorisé à exercer d’autres fonctions, le DPO devra être indépendant et ne pas être placé en situation de conflit d’intérêts. Il est soumis à une obligation de confidentialité.

Sur un autre aspect,la mise en conformité GDPR va également nécessiter la mise en place de multiples briques technologiques :

  • Sécurité
    • Cryptage/chiffrement des données
    • Protection contre les intrusions et le vol de données
    • Identity and Access Management
    • Gestion des accès et droits sur les données
  • Gestion des données
    • Centralisation et gestion de la qualité des données
    • Gestion des données de référence
    • Traçabilité des données (Metadata et Data Lineage)
    • Anonymisation/Pseudonymisation et génération de jeux de données
  • Conduite du changement
    • Revue des procédures clients
    • Intégration du Privacy-by-design dans les méthodes projet
    • Changement de comportement face aux questions de sécurité

 

Pour les organisations qui souhaiteraient entamer une démarche de mise en conformité GDPR, il leur est conseillé de prendre connaissance des différentes méthodologies d’approches auprès d’organismes faisant autorité sur le sujet.

Nous pouvons citer ici le site institutionnel de la CNIL qui propose une démarche en 6 étapes :

https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

  1. Désigner un DPO pour piloter la gouvernance des données à caractère personnel
  2. Cartographier les traitements de données personnelles pour mesurer l’impact de GDPR
  3. Prioriser les actions à mener pour se conformer aux obligations actuelles et à venir
  4. Réaliser une analyse d’impact PIA (Privacy Impact Assessment) sur la protection des données
  5. Organiser les processus internes pour garantir un haut niveau de protection des données personnelles
  6. Documenter la conformité pour constituer des éléments de preuve vis-à-vis du règlement européen

Le « Combien » ?

Combien cela risque de coûter à l’organisation si elle n’est pas conforme ?

Selon la nouvelle règlementation GDPR, toute entreprise ou organisation qui serait non-conforme à compter de sa date d’entrée en vigueur, c’est-à-dire au 25 mai 2018, risque de payer des sanctions financières pouvant représenter 4% du chiffre d’affaires global, ou 20 millions d’euros d’amende !

Le « Pourquoi » ?

Pourquoi l’organisation doit-elle être en conformité ?

Si de nos jours plusieurs experts dans les cabinets de conseil estiment quela « data » est considérée comme le nouveau « pétrole », alors la « confiance » est la nouvelle monnaie.

La réglementation GDPR a ainsi été créée pour pouvoir instaurer cette confiance.

L’objectif a pour finalité de permettre aux citoyens de reprendre le contrôle de leurs données personnelles tout en simplifiant l’environnement réglementaire des entreprises.

Pour résumer, quels sont les PLUS de ce nouveau règlement européen ?

  • Un cadre juridique unifié
  • Le Privacy by design au niveau des projets
  • Une obligation de consentement
  • La désignation du DPO
  • La notification de violation de données
  • Le droit à l'oubli

Auteur :

Valentin NA CHAMPASSAK,Consultant Sécurité @ Alliacom