2018, l’année de la protection des données personnelles

gdpr_visu

On l’attendait depuis 2012, date de la proposition de réforme de la Commission Européenne et le voici enfin ! Le règlement général de protection des données sera applicable le 25 mai 2018.

Le GDPR encadre la collecte et l’utilisation par les organisations des informations concernant des personnes physiques. Il vise à instaurer un haut standard de protection des données afin de renforcer la confiance des consommateurs dans l’économie numérique au sein de l’espace européen.

Bien que les organisations aient eu deux ans pour s’y préparer, beaucoup ont tardé à se mettre en ordre de marche. La complexité et les impacts du GDPR sur les organisations ont largement été sous-estimés par celles-ci et la sensibilisation des Comex reste un sujet d’actualité.

Grâce à l’harmonisation des règles (un seul et même texte, mécanisme de guichet unique) et à la suppression de la plupart des formalités préalables auprès des autorités de protection des données, les flux de données devraient être facilités tout en étant sécurisés.

Ce qui change avec le GDPR… et ce qui ne change pas 

Comme en atteste les récentes sanctions prononcées par la CNIL ou l’ICO au Royaume-Uni, les principes relatifs aux traitements de données, les droits dont bénéficient les personnes, l’obligation de sécurité comme l’encadrement juridique des transferts de données hors de l’UE, sont déjà en vigueur et n’ont pas été créés par le GDPR.

Nonobstant, le Règlement marque un tournant et bouleverse les forces en présence.

  • L’ensemble des acteurs sera responsable – y compris les sous-traitants, à hauteur de 20 M€ ou de 4% du chiffre d’affaires global.
  • En plus des principes et des obligations énoncés ci-avant, le Règlement renforce les droits des personnes (droit d’opposition, droit à l’oubli, retrait du consentement, droit à la portabilité des données, opposition au profilage, droit de mandater un organisme ou une association à but non lucratif pour qu’il introduise une réclamation en son nom …) et permet à chaque individu de garder la maitrise sur les données le concernant : les personnes auront le droit de savoir qui traite des informations les concernant, quelles données sont traitées, pourquoi et comment.
  • Le texte oblige également les organisations à intégrer la protection des données dès la conception des projets « by design & by default »,
  • Enfin le GDPR généralise l’obligation de notification des violations de données personnelles à l’autorité de protection des données et aux personnes concernées en cas de risques élevés pour celles-ci.

Les impacts du GDPR sur les organisations 

  • Le GDPR doit être abordé comme un projet de conduite du changement

La remise à plat des pratiques est d’autant plus difficile que le contenu du Règlement reste abscons pour la grande majorité des collaborateurs. Il faut d’abord anticiper les résistances, mettre en place une gouvernance projet avec un pilote, sensibiliser et se constituer des relais.

  • Les budgets IT doivent être revus à la hausse

Toutes les organisations voient leur système d’information lourdement impacté par la gestion des durées de conservation, de la sécurité des données et de l’exercice des droits des personnes. Mais c’est aussi une bonne occasion de cartographier le SI et de faire le ménage dans les données obsolètes ou inutiles.

  • Au-delà des mentions d’information obligatoires, le GDPR force les organisations à définir un plan de communication

Il s’agit d’abord de convaincre les personnes de l’intérêt de partager les données qui les concerne tout en étant transparent. La communication portera sur les engagements pris en matière de protection des données, sur le soutien de la direction.

La gestion des notifications de violations de données personnelles impose la mise en place d’une communication de crise.

  • L’obligation de rendre compte (accountability) nécessite la mise en place d’une gouvernance de la protection des données

Le GDPR est là pour durer et le DPO sera le nouvel un acteur clé chargé de veiller à la conformité des traitements de données personnelles au sein des organisations. Les entreprises devront mettre en place une documentation, des procédures et des indicateurs ; la non application de politiques ou l’absence de contrôles seront considérés par la CNIL comme des négligences passibles de sanction.

Conscientes des retards pris par certaines entreprises, les autorités de protection des données n’ont certes pas l’intention de « tirer à boulet rouge » dès le 25 mai sur les organisations qui n’auraient pas eu le temps de se mettre en conformité avec les nouvelles obligations. Néanmoins, elles ne sauraient interrompre leurs contrôles et continueront de sanctionner les entreprises qui ne respectent pas les principes qui existent depuis plus de 20 ans ; il en sera de même pour les entreprises qui ne seront pas capables de démontrer une trajectoire claire et crédible de mise en conformité pour les mois à venir. Comme le prévoit le règlement, les amendes seront « effectives, proportionnées et dissuasives ».

  • Les impacts sur le business doivent être anticiper

La mise en conformité du stock de traitements quant à la durée de conservation des données, le renouvellement des consentements comme les modalités renforcées de collecte des nouveaux consentements ne seront pas sans conséquences pour les organisations obligées « d’assainir leurs bases de données ».

Quelles évolutions à moyen et plus long terme ?

L’adhésion à un schéma de certification ou à des codes de conduite, l’adoption de BCR permettent de faciliter les transferts de données et seront un moyen pour les organisations de démontrer leur conformité en cas de contrôle. A moyen terme, les organisations devraient progressivement s’engager dans ce type de démarches.

Les DPO devraient progressivement abandonner l’excel pour commencer à s’équiper d’outils.

  • Les plus gros acteurs susceptibles d’avoir des données sensibles disséminées dans un parc applicatif hétérogène et mal maitrisé, s’équiperont d’un outil de cartographie des données structurées et non structurées,
  • Les DPO groupe auront besoin d’un outil de registre avec un workflow et des fonctions de gestion des risques et de gouvernance,
  • Un outil de gestion des consentements pourra s’avérer utile notamment en cas de forte activité marketing,
  • Enfin selon la quantité et la sensibilité des données traitées, les DPO auront besoin d’outils de détection et d’analyse de flux anormaux afin d’anticiper les violations de données personnelles.

Aucun outil ne garantira jamais la conformité au GDPR mais face à la multiplication des traitements automatisés ce sera le seul moyen d’anticiper et de contrôler le maintien en conformité et de justifier des mesures appliquées.

En savoir plus sur notre offre GDPR.

Auteur: Florence BONNET

Partager cet article :