RGPD : comment réussir sa mise en conformité

[EXCLUSIF] Force est de constater que l’annonce de la mise en application du RGPD génère, au sein des entreprises, une effervescence et une angoisse grandissantes à l’approche du 25 mai prochain, date de l’entrée en vigueur du Règlement Général sur la Protection des Données. Pourtant, depuis 1995 les entreprises européennes doivent se conformer à une directive européenne en matière de gestion des données personnelles et, depuis 1978, les entreprises françaises doivent répondre aux exigences de la Loi « Informatique et Libertés »

 

Amélie de Braux, Directrice juridique et Chef de Projet RGPD, CA Technologies France

Amélie de Braux, Directrice juridique et Chef de Projet RGPD, CA Technologies France

Au cœur du « buzz », le montant de la sanction en cas d’infraction.

Les pénalités imposées par le RGPD sont en effet conséquentes puisqu’elles peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel consolidé mondial. Un montant colossal au regard de ce qui se pratiquait jusqu’à présent. A titre d’exemple, rappelons que la CNIL a, le 27 avril 2017, infligé une amende de 150 000 euros à Facebook pour divers manquements dont « la collecte massive des données personnelles des internautes à des fins de ciblage publicitaire », sur laquelle les utilisateurs étaient « dépourvus de tout contrôle ». Un tel manquement pourrait demain générer une pénalité de plusieurs millions d’euros. Quid des récents déboires du réseau social avec Cambridge Analytica s’ils avaient eu lieu postérieurement au 25 mai 2018 et avaient porté sur des données personnelles de ressortissants européens ? …

 Analyser l’existant pour évaluer le chemin à parcourir

Pour se conformer au RGPD, toute entreprise respectant déjà la directive européenne de 1995 et la loi Informatique et Libertés de 1978 (modifiée notamment en 2004 pour transposer certains éléments de la Directive non encore contenus dans la loi) ne part pas d’une page blanche. Néanmoins, quelques ajustements sont nécessaires. La démarche impose donc aux entreprises d’analyser l’existant, leur conformité à la législation actuelle et le chemin à parcourir pour respecter pleinement le futur cadre réglementaire.

Cette phase d’étude baptisée Gap Analysis (analyse d’écarts) permet d’identifier les processus et livrables à mettre en œuvre pour atteindre les objectifs de conformité. Une des options est de confier cette analyse à un prestataire extérieur pour une prise en compte objective de la vision de la conformité actuelle. A l’issue de l’étude, le prestataire a dressé un inventaire des points importants du RGPD et cartographié notre niveau de conformité avec chacun d’eux.

Guide RGPD et collaborateursAgilité et création d’une équipe de projet RGPD

Pour réaliser un projet de mise en conformité, il est également crucial de composer une équipe de projet RGPD. Chaque membre de pourra se voir voit attribué un point soulevé par le rapport d’audit, ainsi que la mission de rédiger un plan d’action pour combler l’écart entre l’état actuel et les impératifs futurs.

Un tel projet n’est possible que si l’entreprise adopte la méthodologie Agile, en absorbant tous les changements rapidement. Développer l’agilité au sein d’une organisation signifie conduire les projets de manière itérative, collaborative et en adaptant chaque phase du projet au fur et à mesure de son avancement et de sa réalisation. Sans cette dose d’agilité, il paraît difficile de se conformer aux exigences du RGPD dans les délais impartis. Aujourd’hui l’agilité doit faire partie de l’ADN de tout projet d’entreprise. La culture agile impose une méthodologie et des processus qui ne sont plus linéaires mais simultanés, avec des livrables exécutés sur des temps très courts (généralement 2 semaines), également appelés « sprints » (livraison d’informations, de documents, de propositions, de solutions, etc.).

Tous les quinze jours, l’équipe projet se réunit. Au cours de cette rencontre, chaque référent présente les hypothèses sur lesquelles il travaille, détaille sa progression et ajuste ses plans en fonction des autres thématiques du groupe projet. Les échanges avec ses pairs lui permettent de résoudre certains problèmes rencontrés.

Pour rappel, les points de vigilance doivent porter sur : l’analyse d’impact ; la notification en cas d’atteinte aux données personnelles (autorités de contrôle et personnes concernées) ; les droits des personnes concernées (accès, suppression, oubli, modification, portabilité, etc.) ; le « privacy by design » et la mise à jour des contrats standards.

Evangéliser à tous les niveaux de l’entreprise

Le RGPD n’est pas qu’une affaire de juriste. Toutes les directions métiers manipulant des données personnelles sont concernées : les directions marketing et commerciale pour les données clients, les RH pour les données collaborateurs, les achats et la facturation pour les données fournisseurs et clients, etc.

En outre, le RGPD modifie en profondeur la responsabilité des sous-traitants (et de leurs propres sous-traitants éventuels), vis-à-vis des traitements de données personnelles des clients, collaborateurs et fournisseurs de leur client. Mais le règlement précise bien que si le sous-traitant ne respecte pas ses obligations, c’est bien l’entreprise qui l’emploie qui est responsable du traitement. A titre d’exemple, une entreprise qui externalise son activité recrutement ou paie est responsable du traitement des données des candidats et des collaborateurs.

Le 25 mai et après…

Si le 25 mai est la date de l’entrée en vigueur du RGPD, les entreprises qui auront réussi à remplir le cahier des charges pour être en conformité le jour J ne doivent pas, pour autant, considérer l’affaire comme classée. Le 25 mai est le premier jour de la nouvelle ère de la gestion des données personnelles. A partir de cette date, elles devront non seulement justifier de leur conformité, mais également la maintenir au cours du temps ; un enjeu de taille au regard de l’évolution des entreprises.

Dans le cadre d’une acquisition, elles devront par exemple s’assurer que l’entreprise achetée répond dans sa globalité aux contraintes du RGPD (processus internes, sous-traitants, fournisseurs). Une entreprise digitale qui fait le choix d’externaliser sa R&D devra vérifier que le principe de « privacy by design » est bien respecté, ou encore que les nouvelles mises à jour logicielles prennent bien en compte le cadre réglementaire. Une vigilance de chaque instant, rendue plus aisée par des outils de gestion agile. Utilisée aujourd’hui pour la gestion du projet de mise en conformité du RGPD, celle-ci servira, dès le 25 mai prochain, à assurer la maintenance de cette conformité.  

Rappelons que dès l’entrée en vigueur du RGPD, les entreprises n’auront quasiment plus de déclaration à réaliser auprès de la CNIL sur le traitement des données personnelles. Elles devront toutefois assumer la responsabilité de ce traitement et auront le devoir de tenir à jour des registres de traitement automatisés de données. Aussi, nous ne pouvons que conseiller aux entreprises d’intégrer les bonnes pratiques agiles pour non seulement mener à terme ce projet conséquent, mais également pouvoir intégrer les évolutions et maintenir le système au cours du temps.

Heureusement, de nombreuses solutions existent pour aider les entreprises à assurer la traçabilité et la sécurisation des données tout au long de leur cycle de vie. Les solutions de gestion agiles, de tests de données anonymisées, d’authentification, de contrôle d’accès, ou de gestion des API, n’auront ainsi plus de secret pour vous.

Si aujourd’hui nous sommes encore dans une situation abstraite où les risques sont énoncés mais virtuels, dès le 25 mai prochain, nous entrerons dans le vif du sujet et ils seront bien réels !