Adopté le 27 avril 2016, le règlement UE 2016/679 (mieux connu sous le nom de RGPD : Règlement Général sur la Protection des Données ou GDPR) entrera en vigueur le 25 mai 2018. Aujourd’hui, l’acronyme est sur toutes les lèvres et de nombreux experts revendiquent le sujet. Derrière la « hype » et l’incompréhension, il y a pourtant bel et bien une législation substantielle qui va changer la manière dont les organisations basées en Europe abordent la protection des données. Il ne reste que quelques mois seulement aux entreprises et aux collectivités territoriales pour prendre les mesures nécessaires à la mise en conformité de leurs traitements.
Le RGPD est considéré comme le texte de référence en matière de protection des données. Il répond à trois grands objectifs :
- Renforcer les droits des personnes : droit à la portabilité des données personnelles, obligation d’informer l’usager des finalités du traitement et de recueillir son consentement clair et explicite pour le traitement de ses données personnelles
- Responsabiliser les acteurs traitant des données (privacy by design)
- Crédibiliser la régulation via coopération renforcée entre les autorités de protection des données (décisions communes pour des traitements de données transnationaux, sanctions renforcées…)
L’enjeu est de taille, car les sanctions prévues sont conséquentes : selon la violation constatée, l’amende administrative peut s’élever jusqu’à 10 000 000 d’euros voire même 20 000 000 d’euros ou, dans le cas d’une entreprise, de 2 à 4 % de son chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu). Le RGPD est-il l’opportunité tant espérée pour accompagner les structures vers la responsabilité assumée de la gestion des données personnelles ?
Les études montrent des réalités contrastées : là où certaines affichent un scénario catastrophe et une méconnaissance totale du RGPD, d’autres pointent le fait que certaines entreprises (de taille importante) affichent une connaissance du changement de législation bien meilleure que prévu et savent piloter la transition vers ces nouvelles normes. Le constat principal est qu’une partie encore importante des entreprises accordent une vision floue à leur stratégie de mise en conformité.
Alors, quelle roadmap faut-il privilégier ? De nombreuses offres commerciales se concentrent aujourd’hui, allant de la « checklist vers la compliance » à un diagnostic complet pour les structures amenées à gérer, transférer et stocker des données individuelles. Cependant, il ne faut pas négliger l’aspect IT des actions à mener pour éviter toute zone d’ombre. Voici les points d’attention fondamentaux à suivre dans votre démarche.
- Sourcer : la première étape vers la conformité GDPR est d’accéder à toutes les sources de données que vous devez examiner et de vérifier quelles données personnelles sont stockées et utilisées dans votre paysage de données. L’accès transparent à toutes les sources de données est une condition préalable à l’établissement d’un inventaire de données personnelles afin que vous puissiez évaluer votre exposition au risque de confidentialité et appliquer les règles de confidentialité à l’échelle de l’entreprise.
- Identifier : l’étape suivante consiste à inspecter les sources pour identifier quelles données personnelles peuvent être trouvées dans chacune d’entre elles. Vous devrez être en mesure d’analyser ces champs pour extraire, classer et cataloguer les éléments de données personnelles tels que les noms, les adresses e-mail et les numéros de sécurité sociale. Des processus tels que la reconnaissance automatique, les règles de qualité de données et la normalisation sont des éléments essentiels dans ce processus.
- Partager la connaissance : se familiariser avec les données personnelles commence par être capable de définir ce que les données personnelles signifient, afin de partager cette compréhension au sein de votre organisation. Pour la conformité GDPR, les règles de confidentialité doivent être documentées et partagées dans tous les secteurs d’activité. C’est la meilleure manière de s’assurer que les données personnelles ne seront accessibles qu’aux personnes disposant des droits appropriés, en fonction de la nature des données personnelles, des droits associés aux groupes d’utilisateurs et du contexte d’utilisation.
- Déterminer le niveau de protection adapté selon le type de données manipulées : trois techniques de protection sont encouragées par le RGPD, qui sont le cryptage, la pseudonymisation et l’anonymisation. La structure doit donc appliquer la technique appropriée en fonction des droits de l’utilisateur et du contexte d’utilisation, sans compromettre les besoins croissants d’analyse, de prévision, d’interrogation et de création de rapports. Il est avant tout essentiel d’identifier et de se concentrer sur les données dont vous avez réellement besoin pour exécuter les processus métiers critiques et l’analyse de la valeur ajoutée.
- Auditer et contrôler : l’audit de votre structure doit vous assurer sur votre capacité à répondre aux questions suivantes : Quelles données personnelles possédez-vous, où se trouvent-elles ? Comment gérez-vous le processus d’obtention du consentement des personnes impliquées ? Comment les données personnelles sont utilisées, qui les utilise et dans quel but ? Comment gérez-vous le droit à l’oubli ?