Comme vous le savez, le Règlement Général sur la Protection des Données (General Data Protection Regulation en anglais) est entré en vigueur depuis le 25 mai 2018. Ce nouveau règlement à l’échelle européenne peut être vu comme une évolution de la loi française du 6 janvier 1978 relative à l’informatique et aux libertés. (Les détails : https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee ).
RGPD ou GDPR : Une opportunité d’évolution du Système d’Information des entreprises
Il ajoute à cette loi notamment le renforcement des droits des personnes, le Privacy by Design, l’encadrement des transferts de données en dehors de l’Union Européenne, la responsabilisation des sous-traitants et surtout l’obligation de rendre des comptes pour les responsables de traitements (principe d’accountability).
Dernier point non négligeable, les sanctions ont été alourdies et peuvent aller jusqu’à 4% du Chiffre d’Affaire du groupe auquel est rattachée l’entreprise contrôlée.
Ce règlement impose aux entreprises publiques ou privées de maitriser leurs données personnelles, tant pour les clients que pour les salariés.
Une multitude de (nouvelles) questions à traiter pour les entreprises
- Où sont stockées les données personnelles ?
- Quelles sont les durées de stockage des données personnelles ?
- Où se trouve leur lieu de stockage ?
- Est-ce que ce lieu de stockage est dans l’Union Européenne ?
- Pourquoi les données personnelles ont-elles été collectées ?
- Comment sont-elles protégées ?
- Qui peut accéder aux données personnelles et dans quel but ?
- Ai-je recueilli les consentements des personnes concernées ?
- Puis-je supprimer des données personnelles à la demande des personnes concernées ?
- Les personnes concernées peuvent-elles modifier leurs données personnelles ?
- Est-ce qu’on a besoin d’en collecter autant ?
- Etc …
Autant de questions auxquelles toutes les entreprises ne savaient pas forcément répondre avant le 25 Mai 2018, alors que certaines étaient déjà posées depuis la loi de 1978. Mais toutes les entreprises doivent maintenant être en mesure d’apporter une réponse à l’autorité de contrôle (La CNIL en France).
En effet les premières sanctions commencent à tomber. Même pour Google qui vient de prendre une sanction record de 50 millions d’euros ( https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la ).
Comment se préparer à répondre aux questions ?
Pour démarrer un projet de mise en conformité RGPD, la première étape consistera à faire une analyse d’écart (ou gap analysis) entre le Système d’information de l’entreprise et le RGPD. Celle-ci vous permettra de générer un plan d’actions pour tracer le chemin vers la conformité RGPD.
Cette analyse d’écart va vous obliger à faire des PIA (Privacy Impact Assessment – analyse d’impact sur la vie privée, ou Analyse d’Impact relative à la Protection des Données – Data Protection Impact Assessment – AIPD ou DPIA) si vous traitez des données sensibles ou si le traitement engendre des risques élevés sur les droits des personnes.
La CNIL fournit gratuitement un outil pour faire des PIA : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
La définition des données sensibles se trouve dans l’article 9 : https://www.cnil.fr/reglement-europeen-protection-donnees/chapitre2#Article9 .
Si vous traitez des données personnelles, le plan d’actions contiendra a minima :
- La mise en place d’un registre des traitements et d’un registre des sous-traitants. La CNIL fournit un exemple de ces registres (https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement ) qui sont très bien faits pour démarrer.
- Et la création d’un fichier de suivi des transferts en dehors de l’UE pour encadrer ces transferts. La CNIL fournit les éléments détaillés sur le sujet (https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue )
- La sensibilisation des personnels de l’entreprise au RGPD (E-learning)
- Etc…
Plus qu'un projet de sécurité, une véritable opportunité de transformation
Ce projet est un vrai projet d’entreprise qui va impacter tout le SI et le fera évoluer pour devenir « data-centric ». Ainsi, la sécurisation et la gestion des données personnelles sont une réelle opportunité de faire évoluer l’entreprise, la connaissance et la maîtrise des données business qui étaient souvent peu connnues et exploitées.
Si vous avez besoin d’aide pour mener à bien ce projet, nos consultants experts sauront vous aider à converger vers la conformité RGDP.