Actualités

Data 2

Intégrer la GDPR ? Bien plus que la mise en conformité à la réglementation 

Tribune écrite par Jean-Marc Goetz

Les échéances se rapprochent !

La GDPR (General Data Protection Regulation/Règlement sur la Protection des Données Personnelles) constituera le cadre réglementaire européen de la protection des données personnelles à compter du 28 mai 2018 ; ce règlement sera directement applicable dans les états membres de l’union européenne.  En France, elle a vocation à remplacer progressivement la loi Informatique & Liberté actuellement en vigueur, sous l’autorité de la CNIL (Commission Nationale de l’Informatique et des Libertés).

Quelles sont les données concernées ?

La GDPR s’applique à différentes catégories de données à caractère personnel (DCP) :

  • Les données dites sensibles :
    • L’origine raciale ou ethnique,
    • Les opinions politiques, religieuses, philosophiques, l’appartenance syndicale,
    • La donnée génétique, biométrique aux fins d’identification,
    • La santé, vie sexuelle, orientation sexuelle,
  • Les données relatives aux condamnations pénales et effractions,
  • Les données perçues comme sensibles (données fiscales, coordonnées bancaires et N° de Carte Bleue…),
  • Les données administratives (adresse, numéros de téléphone, composition familiale, codes d’accès aux applications).

La GDPR encadre plus rigoureusement les 3 premières catégories. Le niveau de sensibilité des DCP est toutefois laissé à l’appréciation des Etats.

Quelles sont les nouvelles exigences apportées par la GDPR ?

La liste est longue. Nous vous invitons donc à parcourir le détail dans notre [JD1] livre blanc sur la GDPR (http://www.ibm.com/analytics/fr/fr/technology/general-data-protection-regulation/). Voici les points clés à retenir :

1 – Les sanctions sont revues sensiblement à la hausse. En cas de non-conformité, les amendes possibles sont d’un montant significativement plus important : amendes maximales de 20 M€, ou 4% du Chiffre d’Affaires consolidé.

2 – Le champ d’application est étendu aux partenaires et sous-traitants. Le périmètre du responsable de traitement des DCP est étendu à son réseau de partenaires et de sous-traitants, en charge de tout ou partie du traitement de ces DCP (hébergement, archivage, impression de documents, envoi d’emails…).

3 – Le principe de responsabilisation (« accountability ») se substitue au principe de déclaration.  A ce jour, les échanges avec l’autorité de contrôle,  la CNIL, sont essentiellement des déclarations, sur initiative prise par le responsable de traitement. Demain, c’est un principe de démonstration qui s’appliquera ; toutes les preuves de la mise en conformité ou de son avancement doivent être mises à la disposition de l’autorité de contrôle, sur sa demande.

4 – Une gouvernance spécifique à la GDPR doit être mise en place. Une structure de pilotage spécifique à la GDPR, en charge de son application et de son déploiement, est attendue. Pour toutes les entreprises de plus de 250 salariés, un responsable de la protection des données (DPO) devra être officiellement désigné auprès de l’autorité de contrôle.

5 – Les applications du système d’information doivent intégrer les règles de la GDPR (« Privacy By Design »). Dès la phase de conception, ces règles doivent être prises en compte ; notamment l’affectation d’une durée de conservation aux DCP ou le cryptage, l’anonymisation des DCP sensibles.

6 – Le devoir d’information à la personne doit être facilité et encadré. Toute personne ayant confié ses données personnelles doit pouvoir :

  • Autoriser explicitement le traitement de ses DCP et pouvoir retirer cette autorisation à tout moment.
  • Demander l’état des lieux, obtenir la restitution de ses DCP.
  • Demander la correction ou la suppression de ses DCP auprès du responsable de traitement, avec une propagation de la demande auprès des partenaires et des sous-traitants.

7 – En cas de détection de faille de sécurité, l’autorité de contrôle doit être impérativement alertée. Toute détection de faille en matière de sécurité, pouvant se manifester par une perte ou un vol de DCP doit être notifiée auprès de l’autorité de contrôle dans les 72 heures.

Comment convaincre ?

Nul n’est censé ignorer la loi ni la réglementation, la mise en conformité s’impose ; les chantiers à engager peuvent être uniquement perçus comme des contraintes importantes et coûteuses… C’est oublier que ces travaux permettent d’atteindre d’autres objectifs tout aussi pertinents :

  • L’urbanisation des données. Les travaux de nettoyage et d’aménagement des DCP donnent l’opportunité de lancer un chantier de réorganisation des données. L’urbanisation des données permet de réduire toutes les situations de redondance, de clarifier les responsabilités de gestion des DCP (Par exemple, pour les données du client : qui en est le responsable, qui peut les corriger ?). Elle donne également la possibilité de détecter et de réduire les « zones grises », c’est-à-dire les ensembles de données obsolètes, qui ne sont plus utilisées et qui n’ont pas vocation à perdurer. Par ce biais, la mise en conformité rejoint un objectif d’obtention de valorisation et de meilleure qualité des données.
  • L’image de probité. Savoir appliquer la GDPR, c’est donner les moyens aux personnes de suivre la finalité des DCP confiées dans un cadre sécurisé. Par extension, le message véhiculé pourra être le suivant : «Notre entreprise vous donne les moyens d’accéder à tout moment à vos données personnelles dans un environnement sécurisé, elle sera également vous donner les moyens de suivre toutes les opérations confiées ». Cette image de probité peut être fortement différenciante par rapport à la concurrence dans le cadre d’un service d’excellence.
  • Le renforcement de la politique de sécurité. Protéger ses DCP, c’est également savoir durcir et fiabiliser sa politique de sécurité des données en général, en y associant notamment des règles de confidentialité, qui peuvent demander un traitement spécifique de cryptage et d’anonymisation.
  • Obtenir plus de transparence sur les obligations des soustraitants et partenaires. Avec la GDPR, l’entreprise se donne plus de moyens pour contrôler leurs opérations sur les DCP.