Temps de lecture estimé : 5 minutes
Pas de temps à perdre
La nouvelle réglementation européenne sur la protection des données privées entre en vigueur le 25 mai prochain, et elle introduit des changements majeurs. S’y préparer est essentiel ; et la bonne nouvelle, c’est que ce n’est pas nécessairement si compliqué.
Le nouveau Règlement européen sur la protection des données privées – plus couramment appelé RGDP – va bientôt entrer en vigueur en France. Pour rappel, la date du 25 mai est bien l’entrée en vigueur de la règlementation : elle a été votée en avril 2016. Autrement dit, la non-conformité peut être sanctionnée à partir de mai prochain. « Beaucoup d’entreprises n’ont pas pensé que le 25 mai était l’entrée en vigueur, mais une période transitoire, estime Gérard Haas, avocat, fondateur du cabinet Haas. Ce n’est pas le cas. Aujourd’hui, 81 % des entreprises ne sont pas conformité. Et les sanctions sont élevées : jusqu’à 10 millions d’euros, ou 2 % du CA mondial, si on n’a pas respecté les principes directeurs ; jusqu’à 20 millions d’euros, ou 4 % du CA mondial, si le droit des personnes a été bafoué. » Les grands groupes sont en ordre de marche : banques, assurances, acteurs de l’énergie… « Les entreprises qui nous contactent pour demander la certification AFAQ Protection des données personnelles sont souvent celles qui ont déjà bien entamer la mise en conformité au RGPD. Ce sont aussi des sous-traitants qui anticipent les demandes de leurs donneurs d’ordre », explique Benoît Pellan, expert produits confiance numérique, RGDP, cyber-sécurité chez AFNOR Certification. Mais il en va tout autrement pour les ETI et les PME – sans même parler du secteur public. « Les principes sont connus : ce sont des évolutions des lois qui se succèdent depuis 40 ans, estime Xavier Leclerc, CEO de DPMS. Si le travail a déjà a été fait, se mettre en conformité avec la RGDP ne demandera pas beaucoup d’effort. » Encore faut-il avoir fait le travail précédent. La plupart des intéressés ne savent pas qu’il fallait faire une déclaration à la CNIL ; alors, pour l’étape suivante…
Les grands principes
La RGDP a plusieurs objectifs : créer la confiance, responsabiliser les acteurs, et assurer une meilleure sécurité juridique de la collecte. Pour ce faire, elle introduit plusieurs évolutions, certaines étant plus radicales que d’autres. La première est une nouvelle approche de la responsabilité des entreprises, qui passe du déclaratif à une obligation de preuve, et qui est maintenant partagée entre les acteurs qui traitent les données (typiquement l’entreprise et certains sous-traitants). De fait, chaque entreprise pourra mettre en place un traitement sans le déclarer à la CNIL. En revanche, il doit tenir à jour un registre de tous les traitements actifs : envers le personnel, les clients, et les sous-traitants.
De nouveaux droits, qui concernent les salariés et les clients, sont aussi établis formellement : le droit à la portabilité et à l’effacement des données, le recours au consentement systématique pour la phase de recueil… « Autre point, le règlement renforce les obligations de sécurisation : on passe d’une obligation de moyens à une obligation de résultats, explique Gérard Haas. Et trois risques en particulier sont mis en avant : le vol, la modification et la suppression. » Pour piloter le tout, la RGDP recommande la création d’un nouveau poste : le Data Privacy Officer (DPO), en charge du bon traitement des données dans l’entreprise.
Tout le monde (ou presque) est concerné
La RGDP s’applique de façon plutôt large : toute entreprise qui traite les données d’un résident européen est censée respecter, pour ses données tout du moins, les exigences européennes. En fait, tout le monde est concerné, du moins au-dessus du seuil de 250 salariés. Pour les entreprises de taille plus modeste, elles échappent aux nouvelles obligations – sauf si elles traitent des données de masse (service marketing, commercial d’une certaine taille…) ou travaillent dans un secteur à données sensibles. « De fait, tout le monde est concerné, à partir du moment où l’on traite des données d’un client européen, car les données à caractère personnel couvrent un territoire très large, mais pas au même niveau : certains ne dénombreront que cinq à dix traitements différents dans leur entreprise », rassure Xavier Leclerc. Reste à déterminer ce qui s’applique et à qui. « Nous avons fondé, avec d’autres acteurs de l’industrie du Cloud, l’association CISPE, et nous avons établi un code de conduite pour expliquer les obligations de chacun, explique Jules-Henri Gavetti. Par exemple, en tant qu’hébergeur, nous ne traitons pas les données des clients de l’entreprise ; mais nous avons un rôle important à jouer pour l’obligation de prévenance, par exemple. » En pratique, cela veut dire, par exemple, qu’un hébergeur n’est pas responsable des données ; qu’il faut faire relire les mentions légales et CGV de son site par un avocat spécialisé ; ou encore, qu’il faut revoir ses formulaires de contact sur le site pour minimiser les données échangées, pratiquer l’opt-in… « Les démarches ne sont pas complexes, mais demandent de l’organisation – en fait, elles demandent de prendre de nouvelles habitudes organisationnelles », résume Jules-Henri Gavetti, président et co-fondateur d’Ikoula. En fait, « Les 6 étapes préconisées par la CNIL visent à structurer un projet de mise en conformité en vue de l’échéance du 25 mai 2018 », résume Benoît Pellan. Beaucoup des étapes sont de l’ordre de l’accompagnement. Mieux encore : beaucoup des transformations à mener partagent des étapes, que l’on peut du coup mutualiser.
Désigner un pilote
La CNIL a publié, en début d’année, un livre blanc qui fait office de guide, et qui offre un fil directeur pour mener sa mise en conformité. Et la première étape, c’est de désigner quelqu’un qui supervisera tout le processus, en sera le point de contact, etc. : cette personne, c’est le DPO. « La gouvernance doit pouvoir se montrer capable d’être «RGDP-friendly», souligne Xavier Leclerc. Cela passe par la nomination d’un DPO, qui n’est pas obligatoire pour tous, mais apporte certains avantages. » Cette obligation, notamment, s’impose à l’ensemble du secteur public : autant dire que sans mutualisation des postes, c’est un objectif qui ne sera pas rempli d’ici au 25 mai.
Avoir un responsable aide à mutualiser les coûts et l’expertise, à condition qu’il occupe une position transverse dans l’entreprise. Il doit pouvoir travailler avec tous – notamment les RH, la DSI… Du coup, son indépendance, voire sa présence au conseil d’administration, sont des éléments utiles. Le problème est qu’il s’agit d’un métier nouveau, et qu’il est donc délicat de faire son choix. Mais de l’aide est prévue. « J’ai créé en 2017 l’UDPO (L’Union de DPO), en partenariat avec le bureau Veritas, pour certifier les experts », souligne Xavier Leclerc. De quoi déjà pouvoir faire une première sélection…
Constituer un registre
C’est l’un des éléments essentiels pour l’évolution de la responsabilisation : le registre. Il recense l’ensemble des traitements de données personnelles dans l’entreprise, les catégories de données personnelles traitées, les objectifs poursuivis par les opérations de traitements de données, les acteurs (internes ou externes) qui traitent ces données, notamment les prestataires sous-traitants, et enfin les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.
La CNIL proposera un modèle – a priori un simple fichier Excel – pour le registre. Ce ne sera pas le seul outil disponible pour le constituer, mais c’est une bonne base de départ. À noter que même si le registre n’est pas obligatoire, une entreprise a tout à gagner à se plier à l’exercice, qui est loin d’être inutile.
Identifier et prioriser les actions
Une fois le recensement fait, chaque traitement doit être analysé et évalué, pour pouvoir ainsi construire un plan d’actions cohérent. Plusieurs critères sont utilisés. Tout d’abord, il faut s’assurer que seules les données strictement nécessaires à la poursuite des objectifs sont collectées et traitées – « en pratique l’approche privacy-by-design, cela veut dire qu’il faut réfléchir aux données strictement nécessaires, et aux conditions de leur exploitation, au moment où l’on commence la réflexion sur un traitement », estime Benoît Pellan – identifier la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale) et réviser en conséquence les mentions d’information ; vérifier que les prestataires et sous-traitants connaissent les nouvelles obligations et responsabilités – « il va falloir procéder à une grande lecture contractuelle, avec les salariés, mais aussi avec les fournisseurs et les prestataires », souligne Gérard Haas –, prévoir la mise en place des procédures nécessaires au respect du droit (d’annulation, modification, consentement…), et enfin, vérifier les mesures de sécurité en place.
Gérer les risques
« Les études d’impact sont la seule réelle nouveauté de la RGDP, dans le sens où c’est maintenant à l’entreprise de les mener, même si cela ne concerne que quelques processus exceptionnels », souligne Xavier Leclerc. Les PIA, analyses d’impact sur la protection des données, sont à mener sur les traitements qui présentent des risques élevés. Pour savoir si un traitement rentre dans ce cadre, la CNIL donne neuf critères (deux suffisent), dont la surveillance systématique, les décisions automatisées, la grande échelle…
Un PIA contient plusieurs éléments : une description du traitement étudié et de ses finalités ; une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ; et une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques.
Organiser les processus internes
Pour assurer tout cela, les processus internes vont devoir évoluer. Il suffit parfois de pas grand-chose, comme de vérifier si les logiciels utilisés sont en conformité. Toutes les solutions ne sont pas conformes : par exemple, les logiciels RH américains n’ont pas de raison de se prêter au jeu de la RGDP en matière, par exemple, de collecte. « Un point particulièrement complexe est soulevé quand le département RH d’une entreprise équipée de solutions en mode Saas veut récupérer les informations récoltées pour le compte de l’entreprise », estime Jules-Henri Gavetti.
Sans oublier les contrats conclus avec les prestataires : par exemple, ils n’intègrent pas de clause de droit d’accès ou de modification. « Dans le cas d’un CRM dans le Cloud, par exemple, il va falloir envoyer un courrier en recommandé à l’éditeur, pour demander la conformité à la RGDP et l’extraction de ses processus de traitement pour les intégrer à l’entreprise, qui en a besoin pour son registre », explique Jules-Henri Gavetti.
Par ailleurs, « un autre changement majeur est l’obligation de déclarer une faille de sécurité dans un délai de 72 heures, une mesure qui s’applique à tous », précise Gérard Haas. La mesure tranche fortement avec les actions pratiquées jusqu’à maintenant, où Yahoo a mis plus de six mois avant de déclarer sa faille… Il est vrai qu’il existe un risque d’alerter les pirates à une vulnérabilité, avant d’avoir pu étudier leur modus operandi.
Documenter
Mais mener toutes ces opérations ne sert à rien si le résultat final (voire le processus dans son intégralité) n’est pas documenté, car c’est sur la documentation que reposeront les contrôles. Traitements, information des personnes, contrats… L’exhaustivité est de mise. Et c’est un travail qui doit être fait en continu : il faut pouvoir prouver qu’à l’instant t, l’entreprise était en conformité – et non à t-2 ans.
« Au 6 étapes de la CNIL, nous proposons une septième étape pour l’après 25 mai 2018: la certification, explique Benoît Pellan. Le principe est de mettre en place des mesures techniques et opérationnelles pour soutenir la conformité au RGPD dans le temps et déployer un plan d’action pour renforcer progressivement la protection des données personnelles. Cela permettra aux entreprises, par exemple, de répondre aux obligations envers les sous-traitants, et inversement. » Le référentiel est presque prêt : les lignes directrices de la CNIL, attendues sous peu, permettront de l’achever. Cette nouvelle certification RGDP n’est pas à confondre avec la norme ISO27001, qui s’attache à la sécurité informatique dans les entreprises ; mais il est à noter qu’une nouvelle version de la norme 27001 est en préparation, qui intègrera les évolutions apportées par la loi européenne. Une piste à explorer.
Jean-Marie Benoist
