Fermer la publicité
Journal d'information juridique et d'annonces légales

Comment se conformer au RGPD ?

le - - Droit - Actualité du droit

Comment se conformer au RGPD ?
© DR

L'échéance du fameux Règlement général sur la protection des données approche. Pour Mounir Mahjoubi, secrétaire d'État au Numérique, « 2018 est l'année du RGPD » qui va entraîner un « véritable choc de sécurité » sur la toile. La mise en conformité avec le nouveau règlement européen sur le digital qui entre en vigueur le 25 mai est une question centrale pour les entreprises.

Avec ce nouveau cadre légal, les Pouvoirs publics souhaitent « faire du cyberespace un espace de confiance et de droit », expliquait aux juristes le secrétaire d'État au Numérique lors des rencontres Cyberlex qui se sont tenues début 2018 au Sénat. L'objectif principal du RGPD n'est pas seulement d'assurer la protection des données personnelles des Européens, mais surtout de permettre leur libre circulation et de contribuer à la création d'un marché unique numérique qui prenne en compte les évolutions technologiques. Il s'agit « d'imposer aux responsables de traitement des données de mettre en place un privacy by design pour assurer la cybersécurité », explique Élise Dufour, présidente de l'association Cyberlex.

Les entreprises loin de la conformité

La mise en conformité avec le nouveau règlement est un vrai challenge pour les dirigeants d'entreprise. « Je défis toute entreprise d'être 100 % conforme au règlement », plaisantait Arnaud David, Chief data protection officer chez CGI, lors des rencontres Cyberlex. Malheureusement, rares sont les entreprises prêtes. Seuls, seulement 7 % des chefs d'entreprise interrogés récemment par l'enquête mondiale menée par SAS se déclarent conformes au RGPD. Et ce, malgré l'exigence croissante de confidentialité confirmée par l'ampleur du récent scandale Facebook-Cambridge Analytica. Moins de la moitié (46 %) des organisations mondiales interrogées indique prévoir d'être totalement en conformité lorsque le RGPD entrera en vigueur le 25 mai prochain. Parmi les entreprises américaines couvertes par l'enquête, à peine 30 % estiment respecter l'échéance contre 53 % des entreprises de l'UE. Pas de panique, il existe des solutions. En plus de la signature de clauses contractuelles, les entreprises ont la possibilité de se faire accompagner par la Cnil (lire page 10), certifier (Afnor certification RGPD) ou même assurer contre les cyber-risques. Bien que l'enquête montre que la plupart des entreprises ne sont pas encore prêtes, celles-ci œuvrent activement à leur conformité : 93 % ont mis en place un plan ou s'apprêtent à le faire. En outre, la majorité considère qu'elleva bénéficier de leurs efforts de mise en conformité avec le RGPD.

Des outils d'accompagnement efficaces

Cela fait plusieurs mois que la Commission nationale de l'informatique et des libertés (Cnil) a mis en ligne de nombreux tutoriels sur son site internet. L'institution préconise ainsi de suivre une méthode en six étapes pour se conformer au RGPD (lire page 5). Il fournit d'ailleurs différents outils pour y parvenir. « Le guide réalisé par la Cnil– grand régulateur du RGPD –est une source d'information essentielle », selon Mounir Mahjoubi, secrétaire d'État au Numérique.

La Cnil a, par ailleurs, mis en ligne depuis cet automne un logiciel PIA (privacy impact assessment) qui s'inscrit dans une démarche d'accompagnement des responsables de traitement dans la mise en œuvre des obligations du RGPD. Disponible en français et en anglais, cet outil téléchargeable gratuitement  l'a déjà été plus de 30 000 fois !

Guillaume Desgens-Pasanau, ex-directeur juridique de la Cnil, explique : « Le RGPD prévoit que, pour certains types de traitements de données, les responsables devront rédiger une étude d'impact dont l'objectif est de vérifier les enjeux de protection et évaluer le niveau de risque en matière de protection de la vie privée. Ce document pourra être communiqué sur demande à la Cnil, qui pourra d'ailleurs faire dans certains cas des remarques et bloquer la mise en œuvre du traitement pendant quelques semaines. La Cnil a donc mis en ligne un logiciel libre qui permet de préparer ce fameux document. C'est un outil d'aide à la décision qui va assister le professionnel sur les informations qu'il doit renseigner et comment évaluer le niveau de risque par rapport à un traitement. » Le Medef, aussi, propose des outilsd'accompagnement (lire page 11)

L'importance du chef d'orchestre

En pratique, pour les experts, le chantier prioritaire consiste d'abord à « désigner un pilote » : data protection officier (DPO) ou Délégué à la protection des données (DPD), correspondant informatique et libertés (CIL) ou autre (possibilité d'outsourcer le DPO), pour gouverner ce passage au RGPD.

Alors que la désignation d'un CIL est optionnelle, 18 800 organismes en ont déjà désigné un, tandis que la Cnil estime à 80 000 le nombre d'organismes qui devront désigner un DPO.

« Le DPO doit être indépendant, et ne surtout pas être juge et partie », explique l'avocat spécialisé en droit des nouvelles technologies Guillaume Flambard, membre du cabinet Taj. Si les PME et grands groupes vont certainement nommer leur CIL, les start-up et les TPE peuvent faire appel à un DPO mutualisé, notamment au sein d'incubateur comme Station F où la Cnil tient des permanences.

Après, il faut recenser tous les traitements de données de l'entreprise puis mettre en œuvre une gestion de projet avant de mettre en place avec la RH un programme d'information et de formation des opérationnels à tous les niveaux.

« Le DPO doit apporter du savoir aux services opérationnels », souligne l'avocate Muriel Féraud-Courtin qui met en garde les sociétés face au conflit d'intérêts du DPO qui « ne peut ni être le DSI ni le directeur juridique ».

La France a de la chance, selon Jean Lessi, parce que « le RGPD ne change pas tant le droit que ça car on avait déjà la loi informatique et libertés de 1978 ». Il impose simplement d'utiliser davantage de moyens de contrôle comme faire une étude d'impact, tenir un registre et utiliser des outils d'autoévaluation pour s'améliorer. Finalement, la désignation d'un chef d'orchestre existait déjà dans l'Hexagone avec les CIL.

Transparence et responsabilité

Alors que la directive de 1995 reposait en grande partie sur la notion de « formalités préalables » (déclaration, autorisations), le RGPD repose sur une logique de conformité, dont les acteurs sont responsables dès la conception de leur service, le fameux principe de privacy by design.

Les responsables de traitements devront ainsi mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles des utilisateurs, à la fois dès la conception du produit ou du service et par défaut, sous le contrôle et avec l'accompagnement de la Cnil.

« On ne peut pas concevoir un monde dans lequel on n'a pas confiance dans internet », explique le commissaire à la Cnil, Philippe Lemoine, « un des papas de la loi informatique et libertés ». Pour lui, la visée première du RDGP est de redonner aux citoyens le contrôle de leurs données dans l'environnement numérique et de responsabiliser les entreprises. Comme beaucoup d'experts, il se dit satisfait de la « vision extrêmement contemporaine » du texte qui allège les formalités bureaucratiques, responsabilise les acteurs, et a su trouver « un équilibre entre le point de vue des personnes et celui des données ».

Les cinq grands piliers sur lesquels le texte repose sont : les données avec un principe de minimisation ; le traitement avec l'obligation de tenir un registre interne ; le renforcement de l'obligation de sécurité ; les droits des personnes avec celui de la portabilité des données ; le contrôle des flux transfrontières.

Pour les données dites « sensibles » (santé, politique, religion, bancaire et toutes les données à caractère économique qui peuvent faciliter notre identification), il faudra mener une analyse d'impact avec l'accompagnement du régulateur.

Les entreprises n'ont plus qu'à passer à l'action car celles qui ne seraient pas en conformité à la fin du mois courent un risque colossal avec des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % de leur chiffre d'affaires mondial (pour atteindre les Gafam). À bon entendeur.

Pas de panique !

Pour Isabelle Falque-Perrotin, présidente de la Cnil : « Il faut en finir avec l'alarmisme sur le RGPD ! Avec le guide que nous venons de publier, nous voulons montrer aux PME que se mettre en conformité est facile, en adoptant simplement de bons réflexes. À l'heure où les consommateurs sont de plus en plus soucieux de leurs données personnelles, proposer une relation de confiance à ses collaborateurs, clients, prospects, c'est aussi utile à l'entreprise. Enfin, un couperet ne va pas tomber sur les entreprises le 26 mai ».

En effet, le régulateur « n'attend pas les start-up avec un gros bâton », mais souhaite « les accompagner pour faire face aux nouvelles obligations », confirme Jean Lessi, secrétaire général de la Cnil. « Mai 2018 n'est pas un couperet mais une marche qu'il faut monter », pour cette adepte du cercle vertueux.




Anne MOREAUX
Journaliste

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide