Imène Boumghar vient d’être nommée Data Protection Officer chez Axionable. Méthodologie de mise en conformité, antisèche RGPD, outils Privacy ou encore adaptation de l’organisation, Imène nous livre ses conseils pragmatiques pour se préparer sereinement à l’arrivée des nouvelles règlementations en matière de protection des données personnelles.
N’ayez plus peur du bug de l'an 2000
« RGPD c'est comme le bug de l'an 2000, je reçois 10 coups de fils par jour d'avocats ou de consultants qui veulent me proposer leurs services ». Yoann Denée, Chief Data Officer & DPO de Prisma Media.
Le Règlement Général sur la Protection des Données (RGPD ou GDPR en Anglais), nouvelle réglementation européenne qui entre en application le 25 mai 2018, soulève de nombreuses questions au sein des entreprises tous secteurs confondus. Si les articles constituants le RGPD sont déjà connus et plus ou moins assimilés, la méthodologie de mise en œuvre reste le gros chantier de ce début d’année 2018 pour de nombreuses entreprises, qui font appel à des cabinets d’avocats ou de conseil pour leur apporter l’expertise manquante. Mettre en application le RGPD est un travail de longue haleine, quelques étapes simples permettent néanmoins de s’y préparer, sans consultant, ni avocat.
Pourquoi il est important de créer une culture de protection des données dans l’entreprise
L'avènement du big data, du cloud computing, des médias sociaux et des smartphones signifie que les entreprises collectent et traitent plus de données que jamais auparavant, avec une croissance exponentielle du volume de données. Si la gestion de la confidentialité des données était reléguée aux équipes de sécurités et aux juristes des entreprises il y a quelques années, celle-ci doit être aujourd’hui l’affaire de tous.
Tout d'abord, le respect de la vie privée est nécessaire pour gagner la confiance des clients et la garder. Les entreprises doivent aider leurs clients à comprendre comment leurs données sont traitées et sécurisées, et ce en toute transparence, afin de nourrir et maintenir cette relation de confiance. La protection des données personnelles peut également avoir une incidence directe sur les résultats financiers d’une entreprise. Les données collectées sont une opportunité incroyable pour le développement de stratégies, de produits, et d’expériences client. Si une entreprise ne parvient pas à collecter ces données de façon conforme aux exigences réglementaires, un pan entier de croissance voire l’avenir même de l’entreprise pourrait être en danger. Enfin, un risque majeur pour les entreprises concernant la protection des données personnelles est son propre personnel. En effet, un employé qui ne connaît pas les exigences légales de protection des données personnelles, ou qui ne s’en soucie pas, met en péril la position de l'entreprise et les données des clients auxquelles il a accès.
L’entreprise doit par conséquent créer une culture où la protection des données personnelles est reconnue comme une priorité et fait partie du travail de chaque employé.
Le cookie est une donnée personnelle et autres points clés … ne séchez plus sur le RGPD
Il convient avant de mettre en œuvre le RGPD de comprendre ce que constitue une Donnée à Caractère Personnel dans le sens de la CNIL. Celle-ci est définie comme étant :
« Toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. » Article 4 du Règlement Général sur la Protection des Données personnelles
Fait souvent méconnu et toujours impactant, les cookies publicitaires, les ID mobiles et les données de navigation associées sont par nature des données à caractère personnel, régulées par conséquent par le RGPD.
Si le RGPD prévoit des restrictions à l'utilisation et au stockage des données personnelles, il le fait afin de préserver les intérêts tant des résidents de l'UE que des organisations qui y font des affaires. Comment trouver alors l’équilibre entre l’intérêt légitime de l’entreprise, et la protection des données personnelles des utilisateurs ? L’image suivante résume le contenu de RGPD.
Repenser les solutions Privacy et RGPD
Les réglementations plus strictes et changeantes concernant la protection des données personnelles exigent l’implémentation de nouvelles architectures et briques technologiques, avec les fonctionnalités requises à la conformité, et une intégration de la « Privacy » aux systèmes d’information existants via des APIs ou des micro services.
L’utilisation de solutions de marché permettent d’accélérer la démarche de mise en conformité au RGPD. De nombreux acteurs de protection et de sécurisation des données ont en effet vu le jour ces dernières mois ou années, avec d’une part des solutions axée sur l’utilisateur, comme des logiciels de gestion de l’authentification (login) et de gestion du consentement et des données personnelles, et d’autre part des solutions internes aux entreprises, notamment de sécurisation des données et des flux, de chiffrement dans le cloud, et de gouvernance des données personnelles des clients, prospects et employés.
En complément des solutions du marché, des solutions Open Source peuvent être utilisées comme des accélérateurs :
- Outil open source pour gérer les PIA, mis à disposition par la CNIL : https://www.cnil.fr/fr/node/23992
- Solution gratuite et open source de gestion du consentement cookie :
https://cookieconsent.insites.com/
Les 6 étapes pour se préparer au RGPD
Se préparer au RGPD signifie d’abord prendre des mesures organisationnelles et étudier l’état de l’art des données personnelles dans votre organisation :
1.Désigner un chef d’orchestre, « Data Protection Officer » ou « Délégué à la Protection des Données », en charge d’informer, de contrôler et d’organiser les actions à mener pour être en conformité avec le RGPD.
2. Cartographier les traitements de données personnelles, pour lister clairement les différents traitements de données personnelles au sein de votre organisation, les catégories de données personnelles collectées et traitées, les objectifs et les acteurs de ces traitements (responsables de traitements et sous-traitants), ainsi que les flux de données entre les entités. Un registre des traitements sera mis en place à cette étape.
3. Prioriser les actions à mener dans le cadre du RGPD, avec comme base la cartographie ou le registre des traitements, en fonction des traitements les plus à risque en termes des droits et les libertés des personnes concernées.
4. Mener des analyses d’impact ou PIA (Privacy Impact Assessment), obligatoires si des traitements de données personnelles à haut risque sont identifiés, notamment si 2 des critères suivants sont applicables : évaluation ou notation, décision automatisée avec effet juridique ou effet similaire significatif, surveillance systématique, données sensibles ou données à caractère hautement personnel, données personnelles traitées à grande échelle, croisement d’ensembles de données, données concernant des personnes vulnérables, usage innovant ou application de nouvelles solutions technologiques ou organisationnelles, exclusion du bénéfice d’un droit, d’un service ou contrat.
5. Organiser les processus interne pour respecter la notion de Privacy By Design & By Default, en mettant en place des procédures pour prendre en compte la protection des données dès la conception d’un traitement, former les collaborateurs et les informer, traiter les demandes d’exercice de droits des personnes, et anticiper les violations de données ou les notifier à l’autorité compétente.
6. Documenter la conformité, et la mettre à jour régulièrement, avec les éléments suivants :
-
- Le registre des traitements,
- Les PIA lorsqu’un risque élevé pour les droits et libertés des personnes est identifié,
- L’encadrement des transferts de données hors de l’Union Européenne (clauses contractuelles, BCR et certifications)
- L’information aux personnes (mentions d’information, modèles de recueil du consentement des personnes, les procédures pour l’exercice des droits des personnes)
- Les contrats définissant les rôles et responsabilités des acteurs (contrats avec les sous-traitants, procédures en cas de violation de données, les preuves du consentement des personnes lorsqu’un traitement de données repose sur celui-ci)
Créer une culture de la Privacy et nommer un DPO
Pour commencer à créer une culture de protection des données dans l’entreprise, des mesures simples peuvent être prises, telle que former tous les employés sur le RGPD et le nouveau règlement ePrivacy, nommer des responsables pour la protection des données (ou Privacy Product Owners), et impliquer ces responsables lors de la conception des offres et des produits.
Le « Délégué à la Protection des Données » ou « Data Protection Officer » (DPO) est le successeur du Correspondant Informatique & Libertés (CIL), avec un statut similaire, mais des exigences en termes de qualifications et de formation continue accrues, et des prérogatives renforcées, notamment concernant son rôle de conseil et de sensibilisation sur les obligations du RGPD. Contrairement au CIL, la désignation d’un DPO est obligatoire dans certains cas, en particulier pour les organismes et autorités publics, pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, et pour les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
La désignation d’un DPO est aussi vivement conseillée par le G29, groupe des « CNIL » européennes, lorsqu’elle n’est pas obligatoire. Le DPO est en charge de faire l’inventaire des traitements de l’organisation, de mettre en place les procédures adaptées, d’informer et de conseiller les responsables de traitement, les sous-traitants et les employés, mais aussi d’assurer une protection continue des données personnelles pour les évolutions et les nouveaux traitements. Le DPO n’est en revanche pas responsable de la conformité au RGPD à la place du responsable de traitement ou du sous-traitant, d’où la nécessité de former continuellement tous les employés de l’entreprise aux règlementations liées à la protection des données.