Estelle Nfonyat Kessou 29 mai 2018

Quelques jours après son entrée en vigueur et alors que nous sommes tous assaillis de mails nous demandant d’approuver les nouvelles politiques de confidentialité des entreprises auprès desquelles nous réalisons nos opérations quotidiennes (Amazon, Google,…), ou de celles qui rythment notre vie sociale (Facebook, Instagram, WhatsApp), beaucoup ont entendu parler du RGPD, le Règlement Général européen sur la Protection des Données, sans vraiment saisir de quoi il retourne. 

ADVENTS vous propose cette petite session de rattrapage afin d’être fin prêts à initier (si ce n’est pas déjà fait) votre conformité au RGPD !

Qu’est-ce qu’une donnée à caractère personnel ?

Une donnée à caractère personnel désigne toute information se rapportant à une personne physique identifiée ou identifiable. D’après le RGPD, une personne physique est réputée  « identifiable » dès lors qu’elle peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un matricule ou à un élément spécifique propre à son identité physique, physiologique, génétique, etc.

A cet égard, sensibiliser et acculturer vos collaborateurs à l’idée qu’ils traitent quotidiennement, dans le cadre de leurs activités, des données à caractère personnel est primordial. En effet, très souvent, ils ne réalisent pas que le simple fait de détenir l’adresse mail et la date de naissance d’un interlocuteur chez un prestataire correspond à un traitement de données personnelles !

N’en étant pas conscients, il est bien évidemment compliqué pour eux de mesurer les risques encourus en cas de mauvaise sécurisation de ces données. Il leur est également difficile de questionner la pertinence de la collecte de ces données ou même de savoir si la conservation de telles informations est justifiée et conforme aux dispositions du RGPD.  Il s’agit alors d’instaurer de bonnes pratiques dans l’utilisation de ces données et surtout dans les mesures de sécurité les entourant.

Une telle prise de conscience est d’autant plus importante que le RGPD prévoit plusieurs catégories de données personnelles, en fonction de leur degré de sensibilité. Ainsi, toute donnée est jugée sensible par le règlement européen si elle permet de déterminer :

  • Une origine raciale ou ethnique
  • Des opinions politiques
  • Des croyances religieuses ou philosophiques
  • Une appartenance syndicale
  • Des données génétiques
  • Des données biométriques (lorsqu’elles sont traitées dans le but d’identifier une personne)

Lorsque ces informations sensibles sont rendus accessibles, le responsable du traitement doit impérativement se voir attribuer une autorisation délivrée par la CNIL (Commission nationale de l’informatique et des libertés), laquelle vient approuver le caractère nécessaire de l’utilisation de ces données.

A l’issue d’une analyse d’impact, il appartient aussi au responsable du traitement de mettre en oeuvre des mesures de sécurité et de conservation renforcées, et de vérifier le consentement explicite de la personne concernée par ces données, sans quoi il contreviendrait au RGPD.

Quels sont les différents traitements de données à caractère personnel visés par le RGPD ?

Les traitements prévus par le règlement sont de 4 ordres:

– la collecte de données à caractère personnel

– la modification et/ou la suppression de données à caractère personnel

– la conservation de données à caractère personnel

– le transfert de données à caractère personnel

Parmi ces traitements, il s’agit d’être particulièrement vigilant aux transferts de données qui seraient réalisés à destination d’organismes extérieurs à l’entreprise, leur localisation en dehors de l’Union Européenne étant problématique dans la mesure où les réglementations en matière de protection des données viendraient certainement à différer de la réglementation européenne. C’est là tout l’intérêt du RGPD ! Il vient harmoniser la réglementation en matière de protection de données là où, il y a quelques mois encore, chaque pays membre était libre dans le choix de la mise en œuvre des objectifs fixés au niveau européen.

Quels sont les grands principes du RGPD ?

Le RGPD s’articule autour de 4 piliers:

  • La notion d’accountability désigne l’obligation pour les entreprises de procéder à une révision de ses règles et processus internes afin d’assurer une meilleure protection des données personnelles et la conformité au RGPD
  • Le principe de privacy by design, promeut l’identification des données à caractère personnel qui seront traitées et le cas échéant, la détermination des conditions de sécurisation de ces données dès la phase de conception de nouveaux services, produits ou la définition de nouveaux processus
  • Le droit à l’effacement (on parle aussi de « droit à l’oubli »), en vertu duquel une personne physique peut exiger l’effacement des données à caractère personnel le concernant
  • Le droit au consentement, enfin consacré par le RGPD, il contraint les entreprises procédant au traitement de données à caractère personnel à l’obtention du consentement univoque et résultant d’un acte clair de la personne concernée. En d’autres termes, le silence ou le fait pour la personne concernée de continuer à utiliser un service ne constitue en aucun cas un comportement actif et ne vaut pas acceptation de l’utilisation de ses données.

Quelles sont les principales problématiques identifiées dans le cadre d’un audit pour la conformité au RGPD ?

  • L’importante quantité de traitements papier

A l’ère du tout numérique et des solutions permettant la digitalisation de processus et des services dématérialisés, nous pourrions croire que les entreprises utilisent de moins en moins de papier dans le cadre de leurs activités. Que nenni !

La photocopie ou le scan des documents restent la règle et ce dans des proportions que l’on ne soupçonnerait pas. Si le tableau Excel est aussi des plus répandus, dupliqué en autant d’exemplaires que de personnes qui l’alimentent, et conservé localement sur tout autant de postes, il est souvent accompagné de son jumeau en version papier, qui se veut, aujourd’hui encore, bien plus rassurant aux yeux des opérationnels.

La multiplicité des exemplaires produits complexifie, de facto, l’exercice d’un contrôle des accès aux données personnelles détenues par une entreprise. Comment savoir en combien d’exemplaires un document existe, ou identifier les personnes qui l’ont consultées ? Et ne parlons même pas des difficultés rencontrées le jour où une autorité publique, telle que la CNIL, réclame un document papier établi 10 ans auparavant, alors qu’il est entreposé parmi des milliers d’autres archives !

  • Le respect des durées légales et conditions de conservation 

Qu’il s’agisse de traitement papier ou numérique de données à caractère personnel, assurer les conditions de conservation appropriées et suivre l’archivage des données personnelles dans le temps n’est pas chose aisée pour les entreprises.

Dans le cas de traitement papier, la durée de conservation des informations détenues devient quasiment impossible à contrôler. Certains textes de loi imposent, par exemple, la conservation de documents relatifs aux employés ou IRP (Instances Représentatives du Personnel) telles que les convocations aux réunions des délégués du personnel ou encore les listes d’émargement à ces réunions. A ce titre, ces textes prévoient des durées légales de conservation – au cours desquelles l’entreprise est tenue de disposer de ces données-  mais aussi des délais d’effacement, à l’issue desquelles les entreprises doivent détruire les données en leur possession. Or, il apparaît que le respect de ces délais constitue une véritable difficulté pour les entreprises.

Concernant les conditions de conservation des données personnelles, le RGPD contraint les entreprises à mettre en œuvre les mesures techniques et organisationnelles nécessaires pour protéger efficacement les données conservées et archivées. Il s’agit de les préserver de tout événement susceptible d’altérer leur contenu ou leur authenticité, tels que leur destruction, leur diffusion ou leur accès par des personnes non-habilitées. Nous l’évoquions précédemment ; en fonction de la nature des données traitées et de leur sensibilité, les entreprises doivent assurer un niveau de sécurité informatique et/ou physique particulièrement renforcé.

Cette responsabilité qui incombe aux entreprises subsiste dans le cas où l’archivage des données, sous format papier ou numérique, est opéré par un sous-traitant. En effet, il revient au responsable du traitement de vérifier que son partenaire est en mesure d’assurer la sécurité des données confiées.

  • La diversité des systèmes d’information 

Le nombre important de solutions utilisées au sein d’une entreprise est l’une des autres problématiques majeures rencontrées durant un audit pour la conformité au RGPD.

Au cours d’un audit préalable à la mise en conformité de votre entreprise au RGPD, il convient d’analyser la cartographie applicative des systèmes d’information de l’entreprise et de préciser les conditions d’hébergement des serveurs et autres applications.

La rencontre de l’ensemble des services permet alors d’apprécier les écarts existants entre la réalité représentée par une cartographie, perçue par la direction des systèmes d’information et la réalité décrite par les collaborateurs, qui ont souvent des usages des outils bien différents de ceux pour lesquels ils ont initialement été déployés. Sans compter les outils et applications réputées disparues mais qui sont encore utilisées de façon résiduelle, par les uns et les autres !

 

Sur le court terme, qu’implique concrètement la mise en conformité au RGPD pour votre entreprise ?

  • La réalisation d’un audit organisationnel 

Certes, l’entrée en vigueur du RGPD est actée, mais ce n’est pas une raison pour se lancer tête baissée dans des actions avant même d’avoir mesuré l’ampleur des travaux à conduire !

Un projet de mise en conformité au RGPD est avant tout un projet d’entreprise. ADVENTS fait le choix d’accompagner ses clients dans une démarche collaborative impliquant l’ensemble des services de l’entreprise, afin d’appréhender toute la complexité des processus et d’assurer l’exhaustivité de l’état des lieux quant aux données personnelles traitées. Si les collaborateurs n’ont pas toujours conscience de manipuler de telles données, leur participation est néanmoins primordiale dans la mesure où ils détiennent la connaissance la plus précise des activités de l’entreprise.

De plus, au sein d’entreprises où une diversité d’applications et systèmes d’information supporte les activités et processus internes, les opérationnels sont les plus à-même d’indiquer l’usage réel qui est fait de chacun des outils, notamment en termes de traitement de données personnelles.

Afin de réaliser un tel état des lieux, l’organisation d’ateliers collaboratifs avec chaque service permet d’identifier à quelles fins et dans quelles conditions les données personnelles sont traitées par chacun des départements.

Dans le cadre d’une telle démarche, la désignation d’un chef de projet interne à l’entreprise apparaît indispensable. Tel un facilitateur, le chef de projet est en mesure, grâce à sa connaissance de l’organisation, de la culture d’entreprise et des collaborateurs, d’identifier les personnes ressources qui détiendront les informations nécessaires à la réalisation de l’audit.

Face à l’importance d’un tel projet et l’implication significative demandée aux collaborateurs, le chef de projet bénéficie d’une légitimité certaine au moment de mobiliser et entretenir l’adhésion au projet, des collaborateurs qui sont, par ailleurs, déjà très sollicités par leurs activités.

  • La désignation d’un DPO

Si la désignation d’un Data Protection Officer n’est pas obligatoire pour toutes les entreprises, elle peut être bénéfique à bien des égards.

Son rôle peut être assimilé à celui d’un chef d’orchestre, en charge de la communication au sein de l’entreprise et de l’acculturation des employés aux enjeux et risques induits par le traitement de données à caractère personnel.

Pour ce faire, le DPO se veut être le référent au sein de l’entreprise, concernant les nouvelles réglementations, en matière de protection des données. De par sa connaissance de ces obligations mais aussi de l’entreprise, de ses activités et de ces processus, il se positionne comme l’interlocuteur privilégié des autorités en cas de contrôle. Il joue aussi un rôle charnière auprès des instances décisionnaires pour tout projet ayant trait à la sensibilisation du personnel et à l’amélioration continue des processus, à des fins de conformité aux évolutions réglementaires relatives à la protection des données personnelles.

A cet effet, il appartient à l’entreprise de mettre à disposition les ressources et le temps utiles à la réalisation de ces missions et au développement de ses connaissances.

Dans l’hypothèse où un audit organisationnel est réalisé préalablement à l’initiation de projets (refonte de processus, déploiement de nouveaux outils, etc.) pour assurer la conformité de l’entreprise, il apparaît pertinent que le DPO soit impliqué durant toute la durée de ces travaux préparatoires. Il se fera alors le garant des objectifs déterminés à l’issue de ces travaux.