Par Jacques Foucault, co-auteur de l’ouvrage « RGPD – Le comprendre, le mettre en œuvre ».
Le formateur justifie d’une expérience de plus de 20 ans dans la gestion des risques relative aux données et à l’information. Il est d’ailleurs Certifié auditeur ISO 27001.
Découvrez les bénéfices de la mise en place du nouveau règlement RGPD
1 – Des responsabilités mieux identifiées et mieux partagées
La production du registre des activités de traitement a fait apparaître de nombreux questionnements sur la responsabilité du traitement. Et ce, pour le secteur privé comme le public. Dans notre économie numérique, il est rare qu’un acteur agisse seul. Aussi, dans de nombreux cas, a-t-il fallu considérer une responsabilité conjointe avec d’autres acteurs. Ceci oblige les responsables conjoints du traitement à définir leurs obligations respectives. De manière transparente, forcément. L’objectif est d’assurer le respect des exigences du règlement. Mais cela peut complexifier la gestion des droits des personnes concernées.
2 – Le suivi et la mise en action de la conformité sont confiés aux opérationnels dans le cadre des décisions du DPO
Alors que ce rôle n’est pas identifié dans le RGPD, les entreprises se sont assez vite rendu compte d’une chose. Pour piloter la conformité sur le terrain, il est utile d’identifier un gestionnaire opérationnel par activité de traitement, de sorte à lui confier un certain nombre de responsabilités. Par exemple : l’encadrement du partage et de la circulation des données personnelles. Ce gestionnaire est le correspondant terrain du DPO, ce qui facilite grandement le travail de ce dernier.
3 – Une meilleure structuration des données et archives
Les données qui ne sont plus utilisées au quotidien, sans avoir atteint leur durée limite de conservation, doivent être archivées. Cela peut être le cas de données conservées afin d’être utilisées en cas de contentieux. Or les entreprises, pour la plupart, géraient l’archivage de manière empirique. On constate toutefois qu’elles sont passées en mode structuré en définissant un processus de gestion des archives qui apporte les réponses aux questions courantes. Par exemple : quelles données doivent être archivées ? Comment et où sont-elles stockées ? Quelles sont les modalités d’accès ? Comment gérer le sort final ?
4 – Une pression accrue sur les éditeurs et fournisseurs de solutions logicielles
Une fois le processus de gestion des demandes d’exercice des droits mis en œuvre, la principale difficulté devient technique. Les logiciels sont souvent démunis pour apporter la réponse technique aux besoins. Anonymisation, chiffrement, portabilité ou encore effacement de données… Les entreprises et les éditeurs se sont rapprochés pour partager la Road Map des logiciels en matière de conformité au RGPD. Dès lors, l’absence d’implication de l’éditeur remet en cause son futur chez son client.
5 – Une plus grande attention accordée aux clauses de réversibilité et portabilité
Historiquement, la relation avec les sous-traitants était basée sur la confiance. Si les contrats faisaient état de clauses de confidentialité ou de pénalités, la clause de réversibilité ou de portabilité était rarement présente et les exigences en matière de sécurité n’étaient pas précisées. Les modèles de la CNIL d’une part et les recommandations de l’ANSSI en matière d’externalisation d’autre part sont venus nourrir le contenu des contrats.
6 – Un renforcement des pratiques de gestion de projet
La protection des données dès la conception nécessite de disposer d’une méthode structurée de gestion de projet. Celle-ci comprend, à minima, une phase de lancement avec note de cadrage. Cette note précise notamment les acteurs du projet, les rôles et les responsabilités. Le DPO est l’un de ces acteurs. Durant cette étape de cadrage, une première réflexion est engagée. Elle vise à évaluer les risques que présente le traitement pour les droits et libertés des personnes physiques. L’objectif : projeter des mesures techniques et organisationnelles qui seront à considérer lors de la phase de conception. La minimisation des données collectées ou l’anonymisation des données pour la phase de test, par exemples.
7 – Une meilleure gestion des mesures de sécurité
Les entreprises peuvent toutes témoigner de mesures de sécurité techniques, comme la sauvegarde des données ou encore l’antivirus. Cependant, cela est beaucoup moins vrai pour les mesures de type organisationnel. On constate que le processus arrivée/changement de poste/départ d’un utilisateur ou encore la revue des droits d’accès font défaut dans beaucoup d’entreprise. Ces mesures sont complexes à gérer car elles impliquent plusieurs acteurs internes et nécessitent un chef d’orchestre. Pour assurer ce rôle, entre autres, beaucoup d’entreprises ont été amenées à identifier formellement un responsable de la sécurité de l’information.
8 – Une meilleure prévention des risques
De manière très générale, aux incidents de sécurité, la réponse apportée était de corriger et remettre en service. Le RGPD a fait naître le registre des incidents de sécurité qui permet d’historiser les évènements. Cela oblige à une analyse documentée de l’impact sur la vie privée ; mais aussi à la recherche des causes racine pour définir des mesures correctives et préventives. Cette tâche est documentée et réalisée conjointement par le responsable de la sécurité de l’information et le DPO.
9 – Une meilleure expertise de la protection de la vie privée
La forte médiatisation du RGPD et les actions de communication menées par les fournisseurs, experts et consultants ont poussé les entreprises à former leurs collaborateurs au règlement. Après avoir téléchargé le PDF depuis le site de l’UE et attaqué sa lecture, elles se sont vite découragées pour en faire la synthèse. La richesse des formations proposées sur le marché a permis aux unes et aux autres de mieux comprendre leurs responsabilités et les actions à mener en interne et en externe.
10 – Une meilleure structuration des tâches et l’organisation de révisions de conformités
Le système de management des données à caractère personnel est la meilleure réponse aux exigences du RGPD. Il permet à l’entreprise de mettre en œuvre une démarche structurée afin d’atteindre l’objectif exigé : la conformité dynamique au règlement. Pour celles qui disposaient déjà d’une démarche qualité, c’était une évidence. Quant aux autres, après avoir tâtonné, elles ont compris une chose : afin d’être en conformité dans le temps et pouvoir le démontrer, il est nécessaire de structurer les tâches et d’opérer une revue de conformité annuelle.
