RGPD : Pour qui ? Pourquoi ? Comment ?
Alors qu'il entrera en vigueur à partir du 25 mai 2018 au sein de tous les États membres de l'Union Européenne, le nouveau Règlement Européen sur la protection des données (RGPD - General Data Protection Regulation) fait déjà beaucoup parler de lui.
Avec le RGPD, vous êtes responsable et vous devez assurer un autocontrôle en prenant toutes les mesures nécessaires pour garantir la conformité des traitements des données personnelles. Grâce au registre de vos traitements, vous devez être en mesure de prouver à tout moment que vous êtes en conformité.
Au sein de cet article, je vous propose de découvrir le RGPD en douceur afin d'être sensibilisé à minima à l'arrivée de ce nouveau règlement.
Sommaire
RGPD : A qui s'applique-t-il ?
Le RGPD se présente sous la forme d'un texte de 88 pages et s'applique à toutes les entreprises qui traitent des données personnelles de citoyens Européens. Il s'applique tout aussi bien aux entreprises hors UE qui propose des services et des biens pour l'UE, ce qui est le cas de bons nombres de géants Américains.
Par ailleurs, il s'applique à une entreprise ainsi qu'à tous ses sous-traitants ce qui implique de contractualiser la protection des données. Au-delà de l'aspect technique, un travail juridique important devra être réalisé.
RGPD : Quel impact sur le SI ?
Son impact sur l'organisation de votre système d'information sera bien réel, et comme un Iceberg, il y a une partie qui sera visible et l'autre non ; Comme bien souvent quand il est question de sécurité.
Avec le RGPD vous allez renforcer votre SI et la direction informatique avec la mise en place d'outils de gestion des données utilisateurs, en nommant un DPO (Data Privacy Officer, évolution du CIL), et, en créant un lien de confiance avec les utilisateurs. La préparation en amont s'impose en adoptant les concepts de "Security by design" et "Privacy by design" à savoir la protection de la vie privée dès la conception d'une application ou d'un service.
Dans le même temps, votre système d'information devra se mettre en conformité avec le texte RGPD ce qui implique d'améliorer la sécurité par le chiffrement et l'anonymisation, ainsi que l'auditabilité et la cartographie des traitements et du stockage des données utilisateurs. L'audit implique de pouvoir réaliser la traçabilité des données, alors la cartographie nécessite à la base un encadrement des données personnelles.
De manière générale, ces changements auront un impact sur vos chartes internes ainsi que la gouvernance de votre système d'information.
RGPD : Contrôle et sanction
En cas de contrôle, il faudra prouver que l'on a fait le nécessaire pour respecter le RGPD, sinon il y a une sanction. Celle-ci peut aller jusqu'à 4% du CA de l'entreprise ou 20 M€, ce qui est clairement dans une autre dimension par rapport aux sanctions actuelles. En effet, l'amende maximum de la CNIL est actuellement de 3 M€.
La sanction en cas de perte de données dépendra fortement du contexte et de la nature de la fuite de données. Si elle fait suite à une faille Zero Day ou si les utilisateurs peuvent faire tout et n'importe quoi sans contrôle, ce sera forcément différent.
Sachez que la notification auprès de la CNIL doit être réalisée sous 72h en cas d'incident, par le DPO de l'entreprise, comme le précise l'article 33 du texte RGPD :
"En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard."
Le DPO remplace le CIL
Alors que les entreprises pouvaient jusqu'ici avoir un CIL en interne, c'est-à-dire un Correspondant Informatique et Libertés, qui a pour objectif de veiller à la sécurité de son organisme, ce dernier va évoluer pour devenir un DPO : Data Privacy Officer.
Les entreprises qui disposent déjà d'un CIL auront un avantage certain ! Ce gardien des données personnelles travaillera en étroite collaboration avec le DSI. Il devra avoir un profil à la fois technique et juridique, et son rôle important pour l'entreprise implique qu'il ne devra pas être choisi par hasard. En effet, il doit veiller à la conformité de son entreprise sans représenter un frein au business, de quoi ajouter une casquette politique au DPO.
La CNIL se réserve le droit de contrôler que le DPO est en mesure de réaliser sa mission au sein de l'entreprise qui l'a désigné.
Enfin, la nomination d'un DPO sera obligatoire pour tous les établissements publics : hôpitaux, universités, collectivités territoriales, collectivités locales, etc... Dans tous les cas et selon la dimension de l'entreprise, il sera conseillé de nommer un DPO pour veiller rigoureusement au respect de la nouvelle réglementation Européenne.
Le mot de la fin...
Le RGPD s'annonce comme un véritable casse-tête, à la fois contraignant et complexe à mettre en place, notamment car il engage une réflexion technique et juridique. Comme un SI ne fait pas l'autre, toutes les entreprises ne partiront pas du même point, il faudra alors alimenter sa réflexion autour de trois axes fondamentaux :
- Savoir où sont les données en maitrisant les processus de traitement des données, ce qui devra par la cartographie des processus de l'entreprise (data mapping)
- Chiffrement et anonymisation
- Être en mesure de chercher, localiser et supprimer les données personnelles, tout en maitrisant la croissance de ces données (autant sur la sauvegarde que l'archivage)
Par ailleurs, se mettre en conformité avec le RGPD est également une bonne manière de gagner en crédibilité et de bonifier votre image vis-à-vis de vos clients.
Pour finir, voici quelques ressources utiles :
- AFCDP propose le texte RGPD commenté et annoté
- CNIL : RGPD, le guide en 6 étapes
- Rapport de synthèse
- Le texte officiel
Vous trouverez bien d'autres ressources sur Internet sur ce vaste sujet, n'hésitez pas à partager vos conseils et votre avis, dans tous les cas je vous souhaite bien du courage dans vos démarches !
Bonjour,
Voilà je viens de faire le registre et tout et tout pour la mise en conformité du RGPD, mais auriez-vous des informations concernant les données à fournir aux demandeurs.
Est-ce que vous pensez qu’il faut mettre toutes les notes, des commerciaux et tout les échanges entre client et commerciaux?
Merci par avance si vous avez une indication la dessus.
Bonjour,
Possible d avoir un article pour nous aider dans la mise en place de solution pour faire respecter au mieux le RGPD svp ?
Exemple .