Loi sur la protection des données personnelles : contrainte ou opportunité ?

La General Data Protection Regulation (GDPR), définitivement adoptée en 2016 au Parlement Européen représente un Big Bang en matière de réglementation de protection des données personnelles en Europe. 

GDPR - Quels droits pour le Citoyen ?

Applicable dès le 25 mai 2018, soit dans moins d'un an, le GDPR, Règlement Général européen de Protection des Données personnelles, s'inscrit dans le prolongement de la loi Informatique et Liberté française. Il élargit les droits des Citoyens sur la gestion de leurs données personnelles :

• Consentement : aucune donnée ne peut être collectée sans accord explicite et positif (art. 7)
• Transparence : droit de savoir à quoi servent ses données (art. 13 et 14)
• Droit d'accès et de rectification : droit de consultation et de modification (art. 15 et 16)
• Droit à l'oubli : suppression et limitation de conservation des données (art. 17)
• Portabilité : droit de récupérer ses données pour les transférer ailleurs (art. 20)
• Droit d'opposition : la personne concernée a le droit de s'opposer à tout moment au traitement de ses données (art 21)
• Profilage : droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (art. 22).
• Minimisation : gestion des données uniquement nécessaires à la finalité réelle (art. 5)
• Sécurité : droit de voir ses données systématiquement protégées (art. 32)
• Notification : droit à l'information en cas de fuite de données (art. 33)

GDPR - Quels devoirs pour l'Entreprise ?

Le GDPR oblige l'Entreprise à satisfaire les nouveaux droits des citoyens décrits précédemment, mais également à mettre en œuvre des actions qui garantissent la bonne application des principes de gestion efficiente des données personnelles, y compris les moyens de contrôle et surveillance : Des actions d'organisation, notamment la nomination d'un Data Protection Officer (art. 37), chargé de mettre en œuvre la conformité au GDPR.

Un principe de responsabilisation du responsable des traitements et de ses sous-traitants (art. 24) et des actions pour démontrer que les traitements respectent le GDPR, et faire appliquer des directives et contrôles, notamment la tenue d'un Registre des traitements (art. 30) qui recense de manière précise les activités et actions ou événements concernant les données personnelles. Une approche méthodologique permettant la mise en place dès la conception du respect du GDPR (Privacy by Design, art. 25) et la mise en place des seuls traitements nécessaires (Privacy by default). La mise en œuvre d'analyses de risques, au travers notamment d'analyse d'impact (DPIA - Data Protection Impact Analysis, art. 34), afin d'évaluer les risques de toute activité ayant un impact potentiel important sur la protection des données personnelles.

La mise en œuvre de mesures de sécurité (art 32), afin de garantir la sécurité du traitement (cryptage, anonymisation, confidentialité, intégrité, restriction de partage et d'utilisation des données), ainsi que le test, l'analyse et l'évaluation régulière de l'efficacité des mesures de sécurité. La notification d'incidents de sécurité « Data Breach Notification » (art. 33 et 34) auprès de l'autorité de contrôle compétente et des personnes concernées.

GDPR - Quels impacts pour l'entreprise ?

Le GDPR a un impact majeur sur tout le cycle de vie des données à caractère personnel. Ceci nécessite donc de renforcer en particulier la gouvernance des données et de parfaitement maîtriser les processus Métiers et les données associées. De manière plus générale, l'impact de la GDPR est majeur, et nécessite de mettre en œuvre une approche globale de transformation sur les 8 axes :

• Stratégie Data

Il s'agit de définir une stratégie Data et de création de valeur respectant le GDPR, par la collecte et la valorisation des données dans le cadre d'une finalité claire et transparente (approche Data Centric).

• Gouvernance des données, directives et culture

Une gouvernance, portée par le top management est indispensable, afin de donner la bonne direction à toute l'entreprise, et s'assurer une surveillance optimale de la mise en œuvre. Cette démarche sera initiée par la définition de principes et directives liés au GDPR, un code de conduite sur la gestion des données personnelles, une sensibilisation de tous les acteurs et leur implication dès le début dans la conduite du changement de culture.

• Organisation, ressources et compétences

Cette démarche globale de transformation doit être assurée et coordonnée par le DPO. L'implication du ou des Responsables des traitements et autres acteurs clés doit être garantie (juridique, RSSI, responsables processus Métiers, ...). Elle impose une définition claire de leurs rôles et missions, de leur positionnement et de leurs responsabilités, au travers d'un véritable management collaboratif, afin de garantir une cohérence et une complémentarité des acteurs. Leur montée en compétence doit être assurée au travers de formations et d'accompagnements.

• Processus Métiers

La conformité au GDPR commence par la maîtrise des processus Métiers, idéalement pilotés par des responsables de processus. La mise en œuvre d'un registre des traitements et la réalisation de DPIA sur les traitements sensibles assureront une maîtrise des risques ainsi qu'une transparence vis-à-vis de la CNIL. L'intégration dès la conception des processus et traitements, des contrôles d'accès, des règles de sécurité, et des règles GDPR (Privacy by Design, Security by Design) sera réalisée en conformité avec les directives et codes de conduite relatifs au traitement des données personnelles. La réflexion couvrira également l'intégration des données personnelles, gérées par le nouveau processus ou traitement, dans les activités et applications de gestion des droits des citoyens.

• Activités GDPR

L'ensemble des activités relatives au GDPR est à définir et déployer, que ce soit la gestion des droits par le citoyen (consultation, effacement, transfert) que le pilotage opérationnel de la démarche au sein de l'Entreprise (suivi des activités GDPR et gestion des risques, revues, audits et contrôles, suivi de sous-traitants, reporting, communication, gestion des alertes, ...).

• Gestion des données et de l'information

Une cartographie générale des données personnelles, leur structuration et modalités de stockage garantira une mise en œuvre de processus Métiers et traitements cohérents entre eux. L'information interne couvre la communication, ainsi que les indicateurs de suivi et de pilotage du projet GDPR dans l'Entreprise. L'information externe s'adresse aux citoyens sur leurs droits et données personnelles gérées par l'Entreprise et les incidents, et s'adresse également aux autorités compétentes (CNIL).

• Implémentation technique

L'architecture du SI de l'Entreprise doit permettre l'intégration des exigences du GDPR. Une architecture Data Centric facilitera cette adaptation. D'autre part le développement d'applications est indispensable pour gérer de manière optimale la gestion de la relation avec les citoyens et de leurs droits (information, modification, transfert, effacement, ...). Le risque majeur est un afflux de demandes, en particulier une concentration au début, et une impossibilité pour l'Entreprise de répondre dans les délais. L'utilisation d'outils, dont de nombreux restent à développer, doit faciliter la réalisation d'audits techniques automatisés (audit de code, test d'applications Web ou smartphone, ...).

• Juridique

Une forte implication du directeur juridique et de son équipe est nécessaire pour coordonner, contrôler et valider au niveau juridique les actions liées au GDPR et les contrats avec les partenaires et sous-traitants. Une veille juridique est indispensable, renforcée par l'accompagnement d'un juriste spécialisé externe, notamment au démarrage.

GDPR - Une opportunité de création de valeur durable pour l'entreprise ?

Le législateur européen aurait pu se contenter de définir les droits des citoyens en matière de données personnelles et les sanctions pour les Entreprises qui n'appliquent pas ces obligations. Il a bien compris que le succès de l'application de ce règlement passait par la mise en œuvre de sanctions importantes, mais aussi par la forte incitation à mettre en œuvre des bonnes pratiques de gouvernance et de management des données personnelles, qui s'appliquent tout naturellement également aux autres données gérées.

Dans ce cadre, il a formalisé en articles la mise en œuvre obligatoire de ces bonnes pratiques afin de garantir une maturité minimale des Entreprises. Ces bonnes pratiques visent à :

• Consolider ou développer une cartographie des traitements et des données personnelles et mieux évaluer les risques (registre des traitements, DPIA, ...)
• Développer et organiser une démarche d'Entreprise (implication top management, DPO, responsabilisation des acteurs, gouvernance, plan de transformation, ...)
• Améliorer la culture « Data » de l'Entreprise (sensibilisations de tous, code de conduite, ...)
• Améliorer la conception des traitements et applications associées (Privacy by Design, ...)
• Améliorer la sécurité (Security by Design, accès, confidentialité, ...) et les contrôles associés
• Améliorer la maîtrise des sous-traitants
• Améliorer la surveillance, les revues et contrôles internes

Ainsi, dans le cadre d'une généralisation des approches « Data Centric », ces bonnes pratiques deviennent des piliers de la transformation digitale des Entreprises :

• Elles contribueront à l'amélioration de la Gouvernance et à la Culture de la donnée
• Elles faciliteront la maîtrise des risques, la qualité des données, ainsi que la sécurité et le contrôle des données
• Elles seront un vecteur d'optimisation des ressources, techniques mais aussi humaines, en développant leurs compétences sur le sujet

Au final, cette approche contribuera activement à la création de valeur durable pour l'Entreprise :

• Par une meilleure performance des traitements
• Par une meilleure connaissance de ses données, et le développement de stratégies nouvelles de valorisation
• Par une communication client transparente et responsable, vecteur d'une relation de confiance et durable