Fermer la publicité
Journal d'information juridique et d'annonces légales

Parer à l'angoisse du RGPD

le - - Droit

Parer à l'angoisse du RGPD

En cette fin d'année, la mise en conformité avec le nouveau règlement européen sur le digital est une question centrale pour les entreprises. Une conférence intitulée "Règlement général sur la protection des données à l'ère du numérique", organisée dans les locaux flambant neuf de l'incubateur géant Station F par le cabinet d'avocats Taj, a réuni un panel d'expert pour aborder les actions concrètes à mener pour préparer les entreprises à l'entrée en vigueur du fameux et redouté RGPD.

Comment se préparer à l'entrée en vigueur du RGPD fixée au 25 mai prochain ? Quels sont les risques encourus en cas de non-conformité ? Cette conférence organisée en partenariat avec Mailjet, Afnor Certification et Generali, a ouvert le dialogue entre des avocats, des directeurs informatiques, des professionnels du marketing, de l'assurance et des représentants de l'administration.

L'objectif principal du Règlement général sur la protection des données (RGPD), n'est pas seulement d'assurer la protection des données personnelles des Européens, mais surtout de permettre leur libre circulation et de contribuer à la création d'un marché unique numérique européen qui prenne en compte les évolutions technologiques.

« Le RGDP est le sujet central en ce moment, même aux USA. L'Europe a posé un cadre mondial sur la protection des données », explique Arnaud Gouachon, directeur juridique de PeopleDoc.

Responsabilité et confiance

« On ne peut pas concevoir un monde dans lequel on n'a pas confiance dans internet », explique le commissaire à la CNIL, Philippe Lemoine, « un des papas de la loi informatique et libertés ». Le président-fondateur du Forum d'actions modernités, a évoqué en introduction la genèse du RGPD dès 2012, en citant notamment l'affaire Edward Snowden qui a lancé l'alerte sur le système Prisme de la NSA.

Pour lui, la visée première du RDGP est de redonner aux citoyens le contrôle de leurs données personnelles dans l'environnement numérique et de responsabiliser les entreprises. Comme beaucoup d'intervenants, il se dit satisfait de la « vision extrêmement contemporaine » du texte qui allège les formalités bureaucratiques, responsabilise les acteurs, et a su trouver « un équilibre entre le point de vue des personnes et celui des données ».

Les cinq grands piliers sur lesquels le texte repose sont : les données avec un principe de minimisation ; le traitement avec l'obligation de tenir un registre interne ; le renforcement de l'obligation de sécurité ; les droits des personnes avec celui de la portabilité des données ; et le contrôle des flux transfrontières.

Pour les avocats du cabinet Taj, les points essentiels du RGPD tournent autour de la cartographie précise des données des entreprises et la distinction entre les données classiques et les données sensibles. Chaque société va devoir élaborer un registre de traitement des données « normales » avec type, période d'effacement, archivage, mesures de sécurité…

Pour les données dites « sensibles » (santé, politique, religion, bancaire et toutes les données à caractère économique qui peuvent faciliter notre identification), il faudra mener une analyse d'impact avec l'accompagnement du régulateur (lire encadré ci-contre), pour instaurer un « privacy by design ». Les entreprises doivent ainsi collecter le minimum de données possibles pour parvenir au traitement affiché.

Utiliser l'outil de la CNIL

La CNIL a mis en ligne depuis cet automne un logiciel PIA (privacy impact assessment) qui s'inscrit dans une démarche d'accompagnement des responsables de traitement dans la mise en œuvre des obligations du RGPD. Disponible en français et en anglais, cet outil est téléchargeable gratuitement !

Guillaume Desgens-Pasanau, ex-directeur juridique de la CNIL, explique : « Le RGPD prévoit que, pour certains types de traitements de données, les responsables devront rédiger une étude d'impact dont l'objectif est de vérifier les enjeux de protection et évaluer le niveau de risque en matière de protection de la vie privée. Ce document pourra être communiqué sur demande à la CNIL, qui pourra d'ailleurs faire dans certains cas des remarques et bloquer la mise en œuvre du traitement pendant quelques semaines. La CNIL a donc mis en ligne un logiciel libre qui permet de préparer ce fameux document. C'est un outil d'aide à la décision qui va assister le professionnel sur les informations qu'il doit renseigner et comment évaluer le niveau de risque par rapport à un traitement. »

Pour le secrétaire général de la CNIL, Jean Lessi, le RGPD souhaite instaurer une responsabilité accrue des parties prenantes. « La responsabilité n'est plus le seul rendez-vous avec le régulateur, cela part dès la conception du produit. Il faut pouvoir être en mesure de traiter de manière responsable la donnée », résume-t-il, car son utilisation est le terreau de l'économie actuelle.

Importance du chef d'orchestre

La CNIL préconise de suivre une méthode en six étapes pour se préparer au RGPD (lire encadré ci-contre). Le régulateur « n'attend pas les start-up avec un gros bâton », mais souhaite « les accompagner pour faire face aux nouvelles obligations », explique Jean Lessi. « Mai 2018 n'est pas un couperet mais une marche qu'il faut monter », pour cet adepte du cercle vertueux.

6 étapes clés :

  1. Désigner un pilote
  2. Cartographier les traitements de données
  3. Prioriser les actions à mener
  4. Gérer les risques
  5. Organiser les processus internes
  6. Documenter la conformité.

En pratique, pour les experts, le chantier prioritaire consiste d'abord à « désigner un pilote » : Data protection officier (DPO) ou Délégué à la protection des données (DPD), Correspondant informatique et libertés (CIL) ou autre (possibilité d'outsourcer le DPO ou de le mutualiser), pour gouverner ce passage au RGPD.

« Le DPO doit être indépendant, et ne surtout pas être juge et partie », explique l'avocat Guillaume Flambard. Après, il faut recenser tous les traitements de données de l'entreprise puis mettre en œuvre une gestion de projet avant de mettre en place avec la RH un programme d'information et de formation des opérationnels à tous les niveaux.

Les avocats conseillent aux start-up et TPE de faire appel à un DPO mutualisé, pourquoi pas au sein d'incubateur comme Station F où la CNIL tient des permanences. Ils conseillent aux PME et aux plus grandes entreprises de faire appel à leur CIL.

« Le DPO doit apporter du savoir aux services opérationnels », souligne l'avocate Muriel Féraud-Courtin qui met en garde les sociétés face au conflit d'intérêts du DPO qui « ne peut ni être le DSI ni le directeur juridique ».

La France a de la chance, selon Jean Lessi, parce que « le RDPG ne change pas tant le droit que ça car on avait déjà la loi informatique et libertés de 1978 ». Il impose simplement d'utiliser davantage de moyens de contrôle comme faire une étude d'impact, tenir un registre et utiliser des outils d'autoévaluation pour s'améliorer. Finalement, la désignation d'un chef d'orchestre existait déjà dans l'Hexagone avec les CIL.

Protections contractuelles

Avec ce nouveau règlement, les sous-traitants vont être bien plus responsabilisés qu'auparavant, notamment s'ils hébergent des données dans des data centers partout dans le monde.

Le panorama établi par Guillaume Desgens-Pasanau, ancien directeur juridique de la CNIL,

sur les nouvelles obligations qui incombent aux sous-traitants des services cloud, atteste du mouvement de responsabilisation ou d'« accountability » quant à la sécurité des données. Désormais, les sous-traitants devront vérifier si tout est mis en œuvre pour protéger les données et auront un rôle d'accompagnement et de conseil envers leurs donneurs d'ordres. Par ailleurs, un risque important de requalification en responsable de traitement des données émerge. Il faut ainsi se couvrir contractuellement face aux obligations des sous-traitants en la matière.

Arnaud Gouachon, directeur juridique de PeopleDoc, société spécialisée dans les ressources humaines et la digitalisation des services, rappelle l'importance « de classifier les prestataires en fonction du service, du coût et des données traitées ».

Malheureusement, la plupart des prestataires « sont complètement paumés », déplore Alexis Renard, P.-D.G. de Mailjet, leader européen du cloud emailing. Mais pas de panique, il existe des solutions. En plus de la signature de clauses contractuelles, les entreprises ont la possibilité de se faire certifier (Afnor certification RGPD) et surtout de se faire assurer (lire interview de Laure Zicry).

Les entreprises n'ont plus qu'à passer à l'action car celles qui ne seraient pas en conformité fin mai 2018 courront un risque colossal avec des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % de leur chiffre d'affaires mondial (pour atteindre les Gafam). À bon entendeur.




Anne MOREAUX
Journaliste

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer