GDPR
Le GDPR ou RGPD (Réglementation Générale sur la Protection des Données), est entré en vigueur le 24 mai 2016 et sera applicable à partir du 25 mai 2018. Ce règlement, qui concerne tous les pays membres de l’UE, prône une « auto responsabilité » des entreprises. A moins de 500 jours de l’échéance, celles-ci doivent dès maintenant réfléchir aux process liés à la protection des données à caractère personnel. La vocation de ce livre blanc est de les aider à relever le défi posé par la mise en conformité et de garantir la réussite de leurs projets GDPR à différents plans : organisationnels, juridiques et techniques.
Parmi les enseignements délivrés par le livre blanc :
- En mai 2018, toute entreprise devra être en mesure de prouver à n’importe quel moment, que les données à caractère personnel qu’elle détient (IBAN, numéros de téléphone, identifiants divers, données biométriques, enregistrements caméras etc.) sont protégées et surtout inexploitables en cas de vol.
- Le GDPR vient, à l’origine, du souhait de 90% des entreprises européennes d’avoir une loi commune sur la protection des données à caractère personnel. Et pour cause, chaque pays membre possède des lois différentes sur le traitement et la sécurité des données.
- Le GDPR met fin à l’époque du « déclaratif » auprès de la CNIL. Désormais, les autorités de protection européennes disposeront du pouvoir de sanctionner. Jusqu’à 4% du CA annuel sur un total maximum pouvant atteindre 20 millions d’euros : c’est le montant des sanctions en cas de non-respect de la loi.
- La fonction de Délégué à la Protection des Données (ou DPO, Data Privacy Officer) est rendue obligatoire pour les entreprises employant plus de 250 collaborateurs. Ce « data manager » sera stratégique pour veiller à la compréhension et à la réussite d’une mise en conformité GDPR.
- Seules 7% des organisations considèrent la cyber comme un sujet prioritaire [cf. Les grands enjeux Cyber 2016].
- La mise en conformité des acteurs économiques avec le GDPR ne constitue pas seulement un respect des règles mais peut être à l’origine d’un nouveau « contrat de confiance » avec les clients, partenaires, collaborateurs… satisfaits de la protection accordée à leurs données. A ce titre, l’ère de la business-cybersécurité via le GDPR débute
La réforme de la protection des données poursuit trois objectifs :
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Un cadre juridique unifié pour l’ensemble de l’UE
Un renforcement des droits des personnes
Une conformité basée sur la transparence et la responsabilisation
Des responsabilités partagées et précisées
Le cadre des transferts hors de l’Union mis à jour
Des sanctions encadrées, graduées et renforcées
Comment les autorités de protection se préparent-elles ?
Règlement européen
Se préparer en 6 étapes
Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
Etape 1 : Désigner un pilote
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.
Etape 2 : Cartographier vos traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.
Etape 3 : Prioriser les actions à mener
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
Etape 4 : Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).
Etape 5 : Organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).
Etape 6 : Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Ce qui change avec le règlement
Alors que les obligations des organismes au regard de la loi Informatique et Libertés s’appuient en grande partie sur les formalités préalables (déclaration, autorisation), le règlement européen sur la protection des données repose sur une logique de responsabilisation et de transparence. Cette logique d’accountability doit se traduire par un changement de culture interne qui nécessite de mobiliser toutes les compétences (DSI, prestataires, services juridiques, directions métier). Les grands principes de la loi Informatique et Libertés demeurent et sont même renforcés (information, consentement).
Cette notion de responsabilité (accountability) se traduit notamment par :
- la prise en compte de la protection des données dès la conception d’un service ou d’un produit et par défaut ;
- la mise en place d’une organisation, de mesures et d’outils internes garantissant une protection optimale des personnes dont les données sont traitées.
En pratique, les organismes devront :
- désigner un pilote pour assurer la gouvernance des données personnelles de leur structure (le délégué à la protection des données sera obligatoire dans certains cas) ;
- réaliser l’inventaire des traitements de données personnelles mis en œuvre ;
- évaluer leurs pratiques et mettre en place des procédures (notification des violations de données, gestion des demandes des personnes concernées, des réclamations, etc.) ;
- identifier les risques associés aux opérations de traitement et prendre les mesures nécessaires à leur prévention ;
- maintenir une documentation assurant la traçabilité des mesures.
D’un point de vue opérationnel, la conformité au règlement européen repose sur différents outils :
- le registre des activités de traitements et la documentation interne ;
- l’analyse d’impact relative à la protection des données (DPIA ou PIA) pour les traitements à risque ;
- la notification de violations de données personnelles.
La mise en œuvre de ces outils implique, au préalable, la désignation d’un pilote interne : le délégué à la protection des données, véritable « chef d’orchestre » de la protection des données personnelles au sein de l’organisme.
Quels sont les outils disponibles aujourd’hui ?
- Le G29 (groupe des CNIL européennes) a déjà adopté plusieurs lignes directrices relatives au délégué à la protection des données, à la portabilité et à l’autorité chef de file. Celles qui concernent les études d’impact sur la vie privée (PIA) seront définitivement adoptées avant l’été ;
- Une rubrique dédiée au règlement ;
- Une page dédiée au délégué à la protection des données (statut, profils, missions, responsabilités, etc.) ;
- Une méthode en 6 étapes pour se préparer qui permet aux organismes de s’assurer qu’ils ont anticipé et mis en œuvre l’essentiel des mesures nécessaires pour être prêts en 2018 ;
- Un modèle de registre au format prévu par le règlement ;
- Les réponses aux questions les plus fréquentes sur le règlement (savoir par exemple ce que vont devenir les formalités auprès de la CNIL).
Quels sont les outils et actions à venir ?
- Des courriers seront adressés prochainement aux organismes ayant désigné un CIL ainsi qu’aux organisations professionnelles représentant les secteurs d’activités afin de les sensibiliser aux nouvelles obligations ;
- Le formulaire de désignation du délégué à la protection des données sera mis en ligne dans les prochains mois. La « transformation » du CIL en délégué ne sera pas automatique. Les organismes devront donc informer la CNIL via ce formulaire de la désignation d’un délégué (ou de la « transformation » du CIL en délégué) ;
- Des contenus spécifiques pour les sous-traitants qui ont de nouvelles obligations, les collectivités territoriales (juin), de même que pour les PME TPE pour lesquelles la gouvernance des données est complexe à mettre en œuvre (2ème semestre 2017) ;
- Un outil proposant aux entreprises concernées une méthode outillée pour réaliser une analyse d’impact relative à la protection des données, DPIA ou PIA (été 2017) ;
- Des lignes directrices du G29 sur la certification, la notification de violations de données, profilage et consentement (2nd semestre 2017)