GDPR / RGPD : 5 recommandations essentielles

1. GDPR / RGPD : qu’est-ce que c’est déjà ..?

Nous vous en parlions il y a quelques temps, et nous ne sommes pas les seuls. En effet, la GDPR / RGPD (General Data Protection RegulationRèglement général sur la protection des données) est redouté en Europe. Applicable à partir du 25 mai 2018, ce règlement est une véritable révolution quant à la protection des data. Néanmoins, la mise en place s’avère fastidieuse pour les entreprises
Tout d’abord, il faut savoir que les entreprises auront deux ans pour se mettre en conformité (donc 2020). Ainsi, cela laisse un peu plus de temps. Mais les entreprises les plus importantes ont déjà commencé les travaux !
Ainsi, la mise en place de la GDPR / RGPD doit être faite sur un période étalée dans le temps. En effet, ce processus est complètement différent de la directive de 1995. De plus, cette dernière n’était qu’une traduction de la loi informatique et libertés de 1978. En outre, cela montre que nous français sommes depuis toujours en avance sur la protection des données personnelles !

La GDPR / RGPD : un changement avec la loi de 1978

Jusqu’ici, nous étions dans un cheminement de déclaration et d’autorisation. Ainsi, la personne en charge du traitement (mais pas forcément celui qui l’exécutait), devait faire les formalités au préalable avec la CNIL. Néanmoins, avec la GDPR / RGPD, on passe d’un processus de traitement à une responsabilisation (Accountability). Ainsi, le responsable du traitement doit prendre toutes les mesures obligatoires pour appliquer la conformité du traitement (donc). De plus, il doit pouvoir le démontrer si la CNIL décide de faire un contrôle.

Accountability ? Kesako ?

Avec la mise en place de la GDPR / RGPD, de nouvelles expressions sont apparues. Par exemple : « obligation de déclaration » n’existe plus, mais « obligation d’information » reste. De plus, « Accountability » est un nouveau terme à prendre en compte.
Bien que ce mot ne soit pas vraiment traduisible dans notre langue, on doit le voir comme le passage d’une logique déclarative à une logique de conformité.
Ainsi, le responsable du traitement doit dorénavant être considéré comme acteur économique responsable. En effet, il va prendre les mesures techniques et d’organisation afin de garantir le respect de la réglementation. De plus, il ne devra plus déclarer son traitement ou devoir demander une autorisation préalable. Néanmoins, il devra tout documenter.

La GDPR / RGPD va-t-elle tout changer ?

Et oui ! Qui plus est, les pénalités vont elles aussi changer. En effet, aujourd’hui la CNIL peut imposer une amende allant jusqu’à 3 millions d’euros lors d’un « manquement à la loi Informatique & Libertés« . L’année prochaine, elle pourra infliger des amendes pouvant aller jusqu’à 20 millions d’euros !

Ça veut dire quoi pour l’entreprise ?

Cela signifie que qu’il faut prendre en compte la protection des données personnelles directement au sein de l’entreprise. Ainsi, au sein des processus mêmes, de la conception du service / produit à sa mise en oeuvre. Cela s’appelle « Privacy by design« .
Encore un nouveau terme ! Ainsi le Privacy by design est un nouveau processus, à l’image d’une démarche qualité. A l’image des entreprises ayant tout un ensemble de règles pour la traçabilité des aliments, il y aura la même chose pour les données !
De plus, la GDPR / RGPD engendre des obligations qui concernent non seulement le responsable du traitement, mais aussi le sous-traitant. Ainsi, s’il y a un manquement, ces deux acteurs verront leur responsabilité engagée.
Expert-Com RGPD GDPR Sécurité informatique Réseau Entreprises


2. GDPR / RGPD : pour qui ? Pour quoi ?

Votre entreprise est-elle concernée par la GDPR  / RGPD ?

Certaines entreprises estiment que la donnée / data n’est pas leur activité principale. Ainsi, pour l’industrie agro-alimentaire, seul l’alimentaire compte, et le reste n’est pas prioritaire.
Il y a donc une véritable démarche pédagogique à faire.
Ainsi, le principal souci pour l’industrie agro-alimentaire est la qualité de ses produits, particulièrement pour les grands groupes. Mais ils travaillent avec des producteurs (donc leurs données), et possèdent des CRM. Ainsi, tout le monde est concerné (et pas seulement les GAFA).

Les data à l’étranger sont-elles aussi concernées ?

En effet ! La GDPR / RGPD n’est pas exclusivement réservée aux entreprises françaises manipulant et traitant des données françaises.
Tous les pays de l’Union Européenne sont concernés, ainsi que certains extérieurs à l’Union. En effet, tous les pays susceptibles de traiter les data personnelles de ses citoyens sont concernés. Ainsi, vous pensiez être épargné parce que vos traitement sont faits depuis par exemple le Maroc ou le Brésil ? Perdu.

Qu’est-ce qu’on entend par « traitement des données » ?

Dès qu’il s’agit d’une data qui peut identifier une personne, cela rentre dans le cadre de la GDPR / RGPD. Ainsi, données brutes, insights, likes : tout cela compte.
Néanmoins, dans le processus mis en place, on peut préciser dans l’analyse d’impact une anonymisation et la mise en place d’une sécurité. Ainsi, dans ce cas-là, en face du traitement il faudra préciser « zéro impact« .
La véritable question qui se pose, c’est de savoir le degré de sécurité que l’on met autour de l’anonymisation. En effet, cela doit permettre une protection totale de la donnée. Ainsi, celui qui a confié la donnée est assuré que celui qui l’exploite ne peut pas remonter à lui. Il faudra donc augmenter la sécurisation des data et de tous les processus, afin notamment de déceler les failles de sécurité. De plus, il existe aujourd’hui l’obligation de les déclarer. Ainsi, plus question de se dire que l’on va perdre des clients etc. : il faut les déclarer.
Expert-Com RGPD GDPR Sécurité informatique Réseau Entreprises Security


3. Quels outils faut il pour rendre une entreprise conforme ?

Comment atteindre la conformité … Et prouver que l’on a bien tenté de le faire ?

Il existe de nouveaux outils permettant de montrer le niveau de conformité de son entreprise.
Par exemple le registre des traitements, la mise en place et l’adhésion à des codes de conduite. De plus, il permettra de démontrer certains processus.
Il est important de savoir que l’entreprise va être jugée et attendue sur des changements internes. De plus, elle sera contrôlée sur le fait de responsabiliser tous les acteurs du processus de la création jusqu’à la commercialisation du produit / service.

Donc : comment mettre en place le Privacy By Design ?

Comme dit précédemment, ce concept signifie que la protection des données personnelles  doit être prise en compte depuis la création du produit / service.
Par exemple, lors de la partie R&D : on s’occupe du modèle conceptuel, des algorithmes, de la pérennité du produit, son évolutivité par rapport au légal etc. Et bien maintenant, il faudra aussi prendre en compte la protection des data personnelles. Ainsi, au sein de la conception même du produit, il faudra préciser les outils de protection et garanties mises en place, les recommandations faites etc.
Et la conséquence immédiate s’appelle l’analyse d’impact, la description des opérations de traitement. Cette étape inclue l’évolution de la nécessité et de la proportionnalité des opérations selon la finalité. Ainsi, justifier pourquoi je fais tel traitement au sein de l’entreprise, et pourquoi. Donc répondre à la question « est-il nécessaire de faire ce traitement ? ».
De plus, l’analyse d’impact comporte l’évaluation des risques pour les droits et libertés, ainsi que les mesures pour faire face aux risques identifiés.

Autres mesures

Il existe également la notification des failles de sécurité (violation de données).
En effet, lorsque l’on a l’analyse d’impact, il faut penser au processus technique permettant de déceler les failles de sécurité. Ainsi, on pourra apporter les corrections nécessaires de première urgence.
Ce processus technique permet non seulement de notifier la brèche à l’autorité de contrôle, mais aussi parfois à tous les acteurs concernés. En France, on devra obligatoirement prévenir la CNIL dans les 3 jours.
Expert-Com RGPD GDPR Sécurité informatique Réseau Entreprises Security CyberSecurity


4. GDPR : quelles sont les différentes étapes de la mise en conformité pour le DSI ?

Première étape d’un projet GDPR / RGPD

Il faut tout d’abord effectuer « un recensement des opérations de traitement et de mise en oeuvre dans l’entreprise« . Cela signifie recenser les opérations du traitement.
Contrairement à ce que l’on fait aujourd’hui, à partir du 28 mai 2018 il faudra utiliser une méthodologie et des outils propres à l’entreprise. De plus, il faudra identifier l’ensemble des flux des données personnelles.
Ensuite, il faudra réaliser des entretiens afin de recenser ces traitements en se posant la question de leur pertinence. En effet, le but est d’identifier de manière formelle des « zones de risque ».

Les autres étapes d’un projet GDPR / RGPD

Lorsque la première est effectuée, l’entreprise a alors une vue d’ensemble de tous ses traitements de données personnelles. De plus, elle connait aussi tous les flux informatiques et manuels. Cela lui permet de savoir d’où proviennent les traitements, par qui ils ont été effectués et à qui ils servent. Ainsi, cette véritable cartographie de data lui permet de définir ses enjeux et ses risques.
Ensuite, il faut prioriser : gérer seulement les traitements à grands enjeux ? Ou bien tous ?
Ainsi, on peut établir une feuille de route de l’entreprise. Mettre en place une gestion de projet de ces risques, une démarche de sensibilisation au sein de l’entreprise, nommer un DPO. De plus, il faut installer une gouvernance et un processus de gestion des traitements. En outre, il faut également mettre en place des outils de sécurité informatique : pour cela, une seule réponse. Ensuite, installer les registres de clauses à inclure dans les contrats : le désormais célèbre registre des traitements !
Après ces étapes, il faut indiquer un taux de conformité au GDPR / RGPD. Ainsi, vous pourrez dire en cas de contrôle de la CNIL « voilà ce que nous avons mis en place au sein de l’entreprise« .

La pédagogie : une priorité de la GDPR / RGPD

Aujourd’hui, il est capital de sensibiliser les équipes dirigeantes des entreprises à la protection des données personnelles. En effet, le raisonnement n’est plus le même qu’avant.
L’idéal serait de placer la GDPR / RGPD à l’ordre du jour du comité de direction, du conseil de surveillance ou du conseil d’administration. De plus, il faudrait également placer le lancement de la procédure de mise en conformité au premier plan.
Chaque entreprise est différente. Ainsi cet énorme chantier ne sera pas lancé de la même façon selon le cœur de métier de chaque organisation. De plus, cela peut prendre plus de temps si l’activité principale de l’entreprise n’est pas le traitement de la donnée personnelle. Pour certains ce sera un simple processus, voire même une non-discussion (peu probable). Néanmoins on peut parier que pour beaucoup, ce seront de vraies découvertes !
Expert-Com GDPR RGPD Protection des données personnelles DPO


5. La GDPR / RGPD : menace ou bénéfice pour les entreprises françaises ?

GDPR / RGPD : un chantier inévitable

La GDPR / RGPD est une excellente chose. De plus, elle est inévitable : les entreprises qui ne s’y mettent pas dès aujourd’hui vont vite être perdues !
En effet, si les entreprises ne répondent pas aux mesures de sécurité, elles ne répondront pas aux conditions des futures listes de sécurisation des données. Donc elles seront finies car elles ne seront pas sélectionnées. En effet, elles n’auront plus aucun marché; et cela vaut pour les grandes entreprises comme les petites.
De plus, les entreprises peuvent voir ça comme un avantage. En effet, en répondant à un appel d’offre et en remplissant toutes les conditions du questionnaire de sécurité, l’entreprise sera sûrement privilégiée.
Ainsi, il est bien plus avantageux de mettre en place un processus de conformité avec anticipation. En effet, vos investissements et vos tarifs s’expliqueront alors par vos choix de sécurisation.
Nous précisons que cette mise en conformité n’est pas seulement obligatoire pour vos clients, ou votre hébergeur. En effet, si vous répondez systématiquement par la négative à chaque fois que l’on vous demande si votre logiciel prévoit telle sécurité / système de protection … Vous n’aurez plus de clients.

La GDPR / RGPD : nouveau bug de l’an 2000 ?

Tout d’abord, il y a beaucoup de rumeurs, donc ne croyez pas tout ce qu’on vous raconte. Ensuite, ce ne sera pas aussi brutal. En effet, les entreprises restent focalisées sur mai 2018 : mais c’est seulement la date où il faudra prouver qu’on a commencé les démarches.
On remarque également de plus en plus d’offres d’avocats et de consultants pour se préparer, notamment des non-spécialistes. Ainsi restez vigilants !
De plus, contrairement au bug de l’an 2000, il y a du (très) sérieux au bout, et un passage obligé pour tous.

S’arranger avec la loi : bonne ou mauvaise idée ?

Comme d’habitude, il y aura toujours des entreprises qui se diront « je ne suis pas conforme depuis 1978 et cela ne m’a jamais posé de problèmes ». Néanmoins, c’est la même chose que de frauder les impôts et de dire « pas vu, pas pris » ! Par contre, les sanctions seront alors beaucoup plus importantes.
Ainsi nous vous recommandons de sensibiliser votre entreprise au plus tôt, ainsi que de lancer un audit. En effet, si vous vous faites contrôler par la CNIL, vous pourrez alors dire où votre entreprise en est, et quelles mesures vous avez pris.

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email