La démarche "d'accountability" des organisations au fondement du RGPD

La protection des données personnelles soulève aujourd’hui de nombreux enjeux et est au coeur de profonds débats dans la société. En effet, le développement croissant du numérique dans les organisations et la digitalisation des échanges ont engendré une massification des flux de données, qu’il convient de sécuriser et de traiter conformément au respect de la vie privée. 

C’est dans ce but qu’une nouvelle réglementation européenne a vu le jour le 27 avril 2016 avec le Règlement Général sur la Protection des Données (RGPD). Il s’agit du texte de référence européen en matière de protection des données personnelles. Il vise à renforcer le droit des personnes d’une part et responsabiliser les entreprises sur les usages fait des données personnelles récoltées dans le cadre de leur activité d’autre part. 

Si les grandes entreprises ont pu compter sur leurs ressources organisationnelles et financières pour préparer en amont de la date butoire leur mise en conformité, ce n’est pas forcément le cas des petites structures qui sont pourtant elles aussi concernées.

Suis-je concerné par le RGPD ? Le RGPD s’applique à toute entreprise établie sur le territoire de l’Union Européenne ou qui met en oeuvre (hors UE) des traitements de données pour fournir des biens et des services aux résidents européens. Toutes les entreprises sont donc tenues de se mettre en conformité ; cependant ce travail peut revêtir des aspects différents en fonction du profil de l’entreprise. 

L’esprit du RGPD 

Le Règlement n’est pas une préconisation de solutions techniques clés en main garantissant une conformité à 100% quelque soit l’organisation considérée. C’est avant tout un cadre qui va définir globalement ce qui est attendu en termes de protection des données personnelles à travers quelques grands principes phares orientant la démarche de conformité. Ainsi concernant la collecte, les données doivent être :

• traitées de manière licite, loyale et transparente vis à vis de la personne concernée ;
• collectées pour des finalités déterminées, explicites et légitimes ;
• adéquates, pertinentes et limitées à ce qui est nécessaire (minimisation des données);
• exactes et tenues à jour ;
• conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
• protégées contre le traitement illicite, la perte ou la destruction.

Une fois ces grands principes pris en compte il est attendu des entreprises qu’elles mettent en place des outils de protection complémentaires via des procédures internes et des modes de sécurisation d’accès et de stockage des données plus spécifiques en fonction de leurs particularités. Parmi les paramètres importants on peut par exemple identifier la sensibilité des données collectées par l’entreprise, leurs volumétries ou la nécessité du traitement des données pour l’activité de l’entreprise ; ces paramètres détermineront le niveau de protection attendu par la CNIL. 

Par exemple, pour une entreprise majeure du secteur de l’agroalimentaire qui traiterait des volumétries importantes de données les efforts devront principalement porter sur la gestion, le suivi et l’organisation interne de ces données. Alors que pour une start-up de santé qui gérerait peu de clients mais qui traitent des données très sensibles, les attentes porteront surtout sur la sécurisation des données.  

Les étapes clés de la mise en conformité

Quelque soit la taille de votre structure, assurez vous de réaliser a minima les 6 étapes clés suivantes afin de respecter les obligations liées à la protection des données personnelles : 

1. Désigner un Délégué à la Protection des Données (DPO). Son rôle est celui d’un chef d’orchestre organisant la conformité au sein de votre organisation. Il assure en interne un rôle de conseil et d’information, s’occupe du suivi et du contrôle des actions entreprises et représente le point de contact privilégié pour les échanges avec la CNIL.
2. Cartographier les traitements de données personnelles opérés par votre structure afin de dégager une vue d’ensemble sur les actions principales à mener. La CNIL recommande d’élaborer un Registre des traitements. 
3. Prioriser les actions à mener en fonction des spécificités de votre organisation. Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
4. Gérer les risques en réalisant notamment des analyses d’impact relatifs à la protection des données (AIPD) afin de déterminer les mesures techniques et organisationnelles appropriées pour protéger les données personnelles.
5. Organiser les processus internes qui garantissent le droit des personnes concernant leurs données et la protection de celles-ci de façon continue. Les processus établis doivent prendre en compte l’ensemble des événements pouvant survenir au cours de la vie d’un traitement (ex : gestion des demande de rectification ou d’accès, modification des données collectées, faille de sécurité et processus de signalement des attaques cyber subies).
6. Documenter vos actions et process établis afin d’être en mesure de prouver à tout moment votre conformité au Règlement

Une réflexion multi-niveaux 

Globalement, il est attendu des entreprises qu’elles acquièrent une vue d’ensemble sur leur traitement des données et opèrent un travail continu sur différents niveaux. Il est ainsi conseillé d’adopter 4 types de mesures afin d’appréhender toutes les dimensions visées par le RGPD:

• les mesures humaines : sensibilisation des utilisateurs et des salariés ;
• les mesures organisationnelles : prévoir des procédures en cas de violation des données pour savoir comment réagir ;
• les mesures techniques : gestion des autorisations d’accès, sécurisation des postes de travail ;
• la gestion de la sous-traitance : révision des clauses des contrats établis avec les sous-traitants.

Le saviez-vous ?

Le facteur humain constitue le risque principal de mise en danger des données, avant le défaut de sécurisation technique.


 
→ Formez vos employés


Alors que la formation du responsable de la protection des données de l’entreprise (DPO, CIL, PDG) semble évidente, l’absence de formation du personnel présente un risque important selon la CNIL. Ce sont bien les employés en charge de la saisie des données personnelles, de leurs traitements ou tout simplement au contact de ces données qui représentent le risque majeur de non-conformité des données. Ils doivent donc être formés aux principes et procédures mis en place dans le cadre de la protection des données personnelles.

La CNIL durcit le ton 

Les sanctions du RGPD prononcées par les CNIL européennes peuvent aller jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros, la somme la plus importante étant retenue.

Si jusqu’à maintenant la CNIL française faisait preuve d’une certaine souplesse et s’inscrivait davantage dans une démarche d’accompagnement pour aider les entreprises à intégrer le RGPD dans leur mode de fonctionnement, elle entend désormais asseoir son cadre juridique et faire pleinement respecter ses obligations. 

CONCLUSION 

Pour s’engager dans la démarche de conformité au RGPD le plus important est d’établir et de cartographier une vue d’ensemble des activités de votre organisation en lien avec les données personnelles. Une fois que les actions recommandées ont été mises en place, il est primordial d’être en mesure de prouver par une documentation écrite que est l’ensemble des actions entreprises et procédures établies. Finalement le RGPD cherche avant tout à inscrire les entreprises dans une démarche d’Accountability, cela revient à montrer comment des actions ont été mises en place et à les rendre vérifiables.

[RESSOURCES - TOOLBOX]

Pour entamer ou consolider la mise en conformité au RGPD, la CNIL est votre interlocuteur privilégié. Vous trouverez notamment un guide ludique en 4 étapes indiquant concrètement les actions incontournables à entreprendre et les questionnements à adopter pour engager de manière volontaire sa démarche de compliance. Vous pouvez y accéder ici 

Concernant la gestion de la sécurité des données personnelles, un guide recensant 17 fiches pratiques et thématiques a été développé par la CNIL pour vous aider dans votre démarche de conformité. Cliquez simplement sur les liens pour accéder à la fiche de votre choix. 

• Sensibiliser les utilisateurs 
• Authentifier les utilisateurs
• Gérer les habilitations 
• Tracer les accès et gérer les incidents 
• Sécuriser les postes de travail 
• Sécuriser l’informatique mobile
• Protéger le réseau informatique interne
• Sécuriser les serveurs 
• Sécuriser les sites web 
• Sauvegarder et prévoir la continuité d’activité 
• Archiver de manière sécurisée 
• Encadrer la maintenance et la destruction des données
• Gérer la sous-traitance
• Sécuriser les échanges avec d’autres organismes 
• Encadrer les développements informatiques 
• Chiffrer, garantir l’intégrité ou signer

Théo Fliegans

(Les éléments écrits dans cet article n'engagent que son auteur)