24 Octobre 2017

3, 2, 1, RGPD !

Partager

Savez-vous qu’aujourd’hui 90% des données existantes dans le monde ont été créées au cours des deux dernières années ? Cet afflux de Data, « nouvel or noir » pose déjà beaucoup de questions aux entreprises, notamment en termes de stockage, de traitement, voire de valorisation. Une nouvelle donne vient encore alourdir le tableau déjà chargé, avec l’entrée en vigueur en mai 2018 du prochain règlement européen sur la protection des données : RGPD pour Réglementation Générale Européenne sur la Protection de Données personnelles.

 

Comprendre la RGPD ?

Applicable en mai 2018, ce règlement vise à harmoniser et à renforcer les droits de protection des données personnelles. La mise en place de ce texte intervient alors que le contexte réglementaire est particulier, notamment au regard de pratiques récentes qui ont impacté la confiance des utilisateurs dans l’économie numérique. La dernière en date concerne Facebook Espagne à qui il est reproché d’avoir exploité les données personnelles de ses utilisateurs, sans leur consentement, à des fins de ciblage publicitaire (Le Monde, septembre 2017). 

Cette loi vise donc à renforcer les devoirs et les responsabilités de toute la chaîne d’acteurs. On parle alors de « Privacy by Design or by default » ou «d’Accountability ». Le règlement européen nourrit donc trois ambitions, la première cherche à renforcer les droits des personnes, citoyens et utilisateurs. La deuxième vise à responsabiliser les acteurs traitant des données. Enfin la troisième a pour objectif de crédibiliser les actions du régulateur et avoir du poids face aux géants de l’internet.

 

 

Qu’est-ce que cela change ?

Deux publics sont concernés par cette réglementation. D’un côté, les usagers ou citoyens pour lesquels la législation vient à la fois consolider des mesures déjà existantes, mais aussi octroyer de nouveaux droits tel que la possibilité de recourir aux class action ou bien encore le droit à la portabilité. Et d’un autre côté, l’entreprise qui se voit contrainte par l’application de nouvelles dispositions comme par exemple la production d’étude d’impacts sur les données à risque ou encore la gestion des consentements. (Cf. tableau récapitulatif ci-dessous).

 

 

Quels risques pour l’entreprise ? 

Pour l’entreprise, il convient donc de bien évaluer son degré de maturité et d’exposition à cette nouvelle réglementation car les risques peuvent être de plusieurs ordres :  

  • Ils peuvent être règlementaires et juridiques : la non-conformité à la règle peut conduire à une sanction sur l’exploitation mais aussi entraîner dans un second temps une sanction financière. Les amendes peuvent alors atteindre 20 millions d’euros ou 4% du chiffre d’affaires global réalisé. Mais l’entreprise peut aussi être impactée par l’arsenal juridique de la mise en demeure, de la limitation d’un traitement de données, de la suspension de flux de données, ou bien encore de l’ordre de rectifier ou effacer des données.
  • Ils peuvent être stratégiques : en interne tout d’abord, car il est nécessaire de mieux connaitre son client avec de la donnée pertinente pour cibler les actions marketing, par exemple, avec précision. Et en externe ou il s’agira de garantir aux citoyens la juste utilisation de ses données, afin qu’il renouvelle sa confiance.

Au regard des risques encourus et des sanctions possibles, une question reste en suspens, quelle sera l’action de la CNIL au lendemain de la mise en application de la loi ? Nul doute qu’elle devra s’intéresser prioritairement aux données ayant attrait aux domaines de la santé et de la finance, car ils portent sur des données particulièrement sensibles. Pour l’entreprise, une chose est sure, il faudra au minimum avoir initié le projet de mise en conformité et avoir bien évalué son degré d’exposition à la loi car nul doute que les plus gros générateurs/exploitants de données seront les plus observés.

 

L’importance du dossier de conformité. 

L’une des obligations notables pour l’entreprise est celle qui concerne la rédaction d’un dossier de conformité, car il constitue un point d’ancrage à toutes les actions faites par l’entreprise autour de la donnée personnelle. La législation rappelle d’ailleurs que ce dossier doit être constitué, rédigé et être mis à jour régulièrement. Il doit se composer de 3 parties et renseigner sur : 

1/ Les traitements : regroupant l’ensemble de la documentation sur le traitement de données personnelles. Elle comprend les différents registres de traitements, ensuite l’encadrement des transferts de données (Hors UE), et aussi les analyses d’impacts. 

2/ L’information « citoyens » : celle-ci comprend les différentes mentions d’informations, les modèles de recueil de consentement, et les procédures mises en place par l’entreprise pour que le citoyen puisse exercer ses droits. 

3/ Les rôles et responsabilités : enfin ce dossier doit comprendre les différents contrats sur les rôles et responsabilités exercés par chacun des sous-traitants potentiels utilisant la donnée. Il doit regrouper les différents contrats, les procédures internes en cas de violation, et les différentes preuves que les utilisateurs ont bien donné leurs consentements dans l’utilisation de leurs données personnelles. 

 

Point de situation pour l’entreprise, et démarche à adopter ? 

Par la force des choses, cette réglementation pousse l’entreprise à envisager un portefeuille de projets portant sur plusieurs champs d’actions diverses. Nous pouvons en citer 4 principaux, avec des projets sur :

  • La donnée : l’Identification, la localisation, le marquage, l’anonymisation, l’effacement 
  • La structure de la donnée : cartographie (data et flux), mise en œuvre de systèmes de protection  
  • Les processus internes : alimentation, surveillance, audit, alerte, gestion de crise
  • Les clients : gestion du consentement (opt-in | opt-out), communication, portabilité. 

La multiplicité des projets, différents et interdépendants, peut rendre la mise en place de cette réglementation lourde et complexe, pour l’entreprise. D’ailleurs les différentes statistiques sur le sujet tendent à démontrer que les entreprises ont pris un sérieux retard quant à leur mise en place.  

 

Où en sont les entreprises ?

Les éléments statistiques sont assez parlants, en effet seulement 31% des entreprises sondées s’estiment être en mesure de pouvoir tenir les délais. Et près de la moitié n’ont aucune idée si elles le pourront.

 

 

A y regarder d’un peu plus près, il y a bien eu une prise de conscience de l’importance du sujet, car 77% des entreprises ont désigné une entité interne ou externe de pilotage du sujet. Mais il semble que celle-ci bute sur deux aspects : la dimension « ressources » où par exemple seulement 30 % des entreprises ont nommé leur Data Protection Officer (DPO) et la dimension « technologique » car près de 67% des entreprises sont encore en veille technologique sur RGPD.

 

Comment l’entreprise a-t-elle pris le sujet ? 

Alors comment s’y prendre ? Quelle démarche adopter ? Une démarche standard, « open source », que l’entreprise a trouvé facilement sur internet lui a permis de lancer une (ou plusieurs) des étapes génériques ...

 

 

 

Cette démarche montre que l’aspect prioritaire concerne la nomination de la ressource qualifiée et compétente pour assurer les missions de sensibilisation des différents acteurs de l’entreprise, et de pilotage de la conformité. Viennent ensuite les étapes consistant à bien identifier les impacts sur l’existant et les développements supplémentaires à mettre en œuvre et leur priorisation. Ensuite, la prise en compte des risques doit être envisagée car elle conditionne l’organisation des processus internes. Enfin il s’agira pour l’entreprise de bien documenter les éléments afin d’établir les preuves de conformité à la législation

 

Du point de vue d’Exeis Conseil : 

Si cette démarche permet de poser les jalons d’une approche globale autour de la mise en conformité, elle n’offre pas l’assurance de bien correspondre aux réels enjeux de l’entreprise. Par ailleurs, l’envergure du sujet risque de décourager les acteurs, s’il est considéré de manière globale. 

Dans une phase d’audit préalable, nous proposons de créer une démarche personnalisée autour de 3 facteurs de l’entreprise :

1/ Son degré d’exposition, au regard de son secteur d’activités, de son périmètre business, des pratiques concurrentielles, de la cartographie de ses partenariats ou encore de la nature de ses clients. 

2/ Sa maturité en termes de gestion de données, la structuration de son Système d’Information et la maturité de sa Gestion de la Relation Client. 

3/ Sa sensibilité globale aux dispositions réglementaires et à la gestion des risques. 

A l’issue de cette phase d’audit, l’entreprise devra identifier les capacités de ses ressources : sont-elles compétentes/appétentes ?  Ont-elles la capacité à faire dans leur charge de travail ? Qui doit être le sponsor ? Quelle organisation projet doit être mise en place ? L’entreprise pourra alors mettre en place un plan d’action adapté, homogène et cohérent. 

C’est dans cette démarche qu’il est nécessaire d’envisager l’appui d’un cabinet de conseil pour sécuriser le projet, car il amène l’assurance de bien appréhender le périmètre et ses enjeux, et de mettre en place un projet sur mesure. 

Enfin si la mise en place de cette nouvelle loi peut être perçue comme contraignante à première vue, elle peut également être envisagée comme l’opportunité de mieux interagir sur ses données et de mieux les valoriser

 

Conclusion 

Une chose est sûre, la mise en conformité RGPD ne se fera pas du jour au lendemain. Mais l’échéance de mai 2018 se rapprochant à grand pas, les entreprises doivent particulièrement accélérer dans la mise en place d’un projet sécurisé. Elles pourront en tirer de réels bénéfices, le premier étant d’être en conformité avec la loi naturellement, et le deuxième plus implicite, celui d’être en marche vers les futurs enjeux que constitue la gestion de la donnée, aspect prioritaire dans la transformation digitale qu’elles connaissent.

 

 

Partager

Vous souhaitez réagir, donner votre opinion, poser une question ou partager votre expérience ?
Laissez-nous un commentaire pour enrichir cet article !

Consulter la charte de modération