Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) sera applicable, en pratique, à toutes les entreprises, autorités et collectivités publiques. Construit autour des grands principes que sont la logique de responsabilisation (accountability), la privacy by default et la privacy by design, il renforce les obligations des responsables de traitement et des sous-traitants.
L’accountability impose à l’organisme de pouvoir démontrer à tout moment qu’il a mis en œuvre des mesures permettant de protéger les données. En raison du risque de perte de clients ou de parts de marché et de très lourdes sanctions financières, l’obligation de mise en conformité n’est plus une option.
La question n’est plus « quand », mais « comment » réaliser cette mise en conformité en quelques mois. Le chantier de la mise en conformité est plus ou moins important selon les structures, leurs activités de base, accessoires et de soutien et leur degré de maturité par rapport au RGPD. Mais l’approche méthodologique est commune.
Le facteur risque : l’identification et la catégorisation des risques.
La minimisation des risques passe par leur identification et leur catégorisation, ainsi que par l’évaluation des risques sur la vie privée des personnes intéressées, ce au moyen d’un recensement très précis des traitements réalisés par l’entité, des données traitées, des mesures organisationnelles et techniques prises pour les protéger, des éventuels transferts de données vers des pays tiers, etc.
Ce recensement doit permettre d’identifier les données sensibles éventuellement traitées par l’organisme ainsi que les traitements nécessitant la réalisation d’une analyse d’impact relative à la protection des données ou data protection impact assessment (DPIA). Ces démarches s’inscrivent dans le cadre d’un audit juridique, organisationnel et technique, aboutissant à l’établissement d’un rapport sur les écarts de conformité et d’un plan d’action en vue de la mise en conformité.
Le facteur humain : la constitution d’une équipe, la sensibilisation et la formation.
L’humain est le facteur essentiel sur lequel repose la mise en conformité. C’est l’élément moteur. C’est également le maillon faible. Pas de mise en conformité ni même d’audit efficace de la conformité sans personnel sensibilisé aux risques et aux enjeux de la protection des données. Avant toute chose, il convient, par conséquent, de constituer une équipe de pilotage, comprenant au moins un dirigeant de l’organisme, un juriste, le RSSI et/ou le DSI, ainsi, les cas échéant, qu’un membre de chaque direction ou département. Les membres de cette équipe devront être sensibilisés aux enjeux du RGPD et aux obligations qui en découlent. Les correspondants, responsables et relais informatique et libertés et notamment le futur délégué à la protection des données (ou data protection officer – DPO) devront, quant à eux, recevoir une formation plus poussée. Afin que la structure demeure en conformité au fil du temps, l’ensemble des collaborateurs qui ont accès aux traitements de données devront être sensibilisés.
Le choix des outils méthodologiques et logiciels.
Les principaux outils méthodologiques du RGPD sont le registre et le DPIA. Le DPIA doit être effectué en présence de risques élevés pour la vie privée des personnes intéressées (traitements à grande échelle, surveillance systématique à grande échelle, traitement de données sensibles, etc.). Il permet d’évaluer les risques liés à la réalisation de ces traitements et de vérifier que l’organisme y pare de façon efficace.
Compte tenu de la complexité de la mise en conformité et de son maintien, il est nécessaire, en pratique, d’utiliser une ou plusieurs solutions logicielles permettant de cartographier les traitements, d’éditer le bilan annuel, de gérer les habilitations et accès, les durées de conservation, les notifications de violations de données et la mise en œuvre d’un DPIA.
En 6 mois…
En bref, les principales étapes de la mise en conformité sont les suivantes :
Constitution d’une équipe chargée de piloter la mise en conformité,
Sensibilisation du comité de pilotage au RGPD,
Audit juridique, organisationnel et technique,
Formation des collaborateurs ayant accès aux traitements de données, et notamment du futur DPO,
Réalisation du plan d’action découlant du rapport d’audit, avec :
• mise en place de mesures organisationnelles et techniques,
• révision de la documentation contractuelle et d’information,
• Et, le cas échéant, DPIA en présence de risques apparemment élevés.
Le plan d’action varie selon les structures. Il peut se limiter à la mise en place de mesures techniques et à la révision de la documentation ou conduire à des réorganisations ainsi qu’à des modifications du système d’information.
Les six mois et quelques semaines qui restent jusqu’au mois de mai 2018 doivent, dans tous les cas, être bien employés, en priorisant les actions dont la mise en œuvre s’échelonnera au cours des prochains mois et ne cessera jamais puisque la conformité au RGPD est une démarche dynamique donnant lieu à des ajustements permanents.
Pascal Alix, avocat à la Cour et correspondant informatique et libertés, Virtualegis,
Hubert de Segonzac, avocat à la Cour et correspondant informatique et libertés, Virtualegis.
Article publier initialement publié dans le Journal du Management Juridique n°60.
