GDPR : Comment sensibiliser sa Direction ?
Les démarches devraient avoir commencé car pour être opérationnels au jour « J » -soit le 25 mai 2018-, entreprises comme entités publiques doivent aujourd’hui (ré)organiser la gouvernance de leurs données sous peine de s’exposer à des sanctions particulièrement lourdes.
Je m'abonneL’ensemble des acteurs publics et privés voit arriver à grands pas l’entrée en vigueur du Règlement Général Européen pour la Protection des données (GDPR)[1]. Il ne reste plus que quelques mois pour être en mesure de justifier de la conformité de ses traitements, de la désignation d’un DPO[2] ou encore du déploiement de mesures organisationnelles et techniques nécessaires à la sécurisation des fichiers.
Les démarches devraient avoir commencé car pour être opérationnels au jour « J » -soit le 25 mai 2018-, entreprises comme entités publiques doivent aujourd’hui (ré)organiser la gouvernance de leurs données sous peine de s’exposer à des sanctions particulièrement lourdes.
Or, dans bien des situations, c’est avec les plus grandes difficultés que les opérationnels concernés par cette problématique parviennent à sensibiliser leur Direction.
Décryptage.
1/ Un état des lieux alarmant
« Encore une réglementation Européenne qui nous empêche de travailler ! », « Nous avons bien le temps d’ici à mai 2018 ! », « Pourquoi changer alors que nos concurrents continuent leurs pratiques ? », « Ce sujet, sans lien avec la productivité, ni avec nos performances commerciales n’est pas prioritaire pour nos actionnaires », « La CNIL ? Ils ne nous ont jamais contrôlé ni sanctionné nos concurrents. Le risque n’est pas réel. » etc., sont autant de réponses alarmantes qui transpirent de nombreuses directions manifestement bien mal informées sur les enjeux de cette réforme cruciale.
Ce qui est sans doute le plus surprenant est d’observer que les entreprises étrangères, notamment américaines, ont très rapidement réagi à cette nouvelle réglementation et se positionnent déjà sur le marché avec les garanties demandées par le GDPR. Ces entreprises ont en effet bien compris l’importance des garanties du GDPR et des enjeux de différentiation concurrentielle attachés à celles-ci.
En l’espèce, ce qui est surprenant n’est pas la réactivité des acteurs américains mais bien l’apathie des entreprises européennes qui n’ont, pour certaines d’entre elles, pas saisi l’opportunité que représente ce texte. Et pourtant c’est un comble car le GDPR a été notamment conçu pour renforcer la protection des entreprises européennes en imposant les mêmes règles contraignantes à toute entité collectant des données de ressortissants de l’UE…
2/ Une prise de conscience impérative
Comment sensibiliser efficacement les décideurs dans un tel contexte ?
Au-delà du passage des sanctions administratives à 20 millions d’euros ou 4% du Chiffre d’affaires annuel mondial qui doit certes faire réfléchir, le GDPR mérite avant tout d’être appréhendé comme un formidable outil de développement.
Voici trois points clés pouvant susciter intérêt et prise de conscience :
- GDPR & gouvernance interne:Les contraintes du GDPR constituent une opportunité pour les décideurs de gérer leur transition digitale en optimisant l’identification, l’utilisation et l’exploitation des différents traitements de données mis en œuvre. Que ce soit s’agissant du contrôle des outils de communication mis en place dans l’entreprise ou au niveau de l’exploitation de la base CRM, le GDPR clarifie les règles, principes et mesures à prendre pour assurer transparence et efficacité de ce type de démarche.
- GDPR & valorisation du patrimoine informationnel : La Cour de cassation[3] a déjà eu l’occasion de rappeler qu’un défaut de conformité à la réglementation informatique et libertés conduit à placer le fichier en dehors du commerce et donc supprimer toute forme de valorisation économique. A l’heure des valorisations stratosphériques de certaines startups et de la recherche de valorisation de données collectées sur le Web, ce simple aspect apparaîtra comme crucial : assurer la conformité juridique des traitements de données constitue la condition sine qua non de la création de richesse.
- GDPR & confiance des clients-usagers-partenaires : la protection des données concerne chaque acteur et chaque traitement mis en œuvre que ce soit au niveau interne ( traitements liés aux ressources humaines) ou au niveau externe (fichier clients/prospects/usagers/utilisateurs). Le principe général d’accountability[4] irradiant le GDPR rappelle cela et invite ces mêmes acteurs à adopter une politique générale de protection de la vie privée impliquant des mesures organisationnelles, juridiques et techniques spécifiques. C’est au travers de ces mesures que pourra être renforcée la confiance des clients, des usagers comme des partenaires. Communiquer sur la démarche de « Data Compliance » est à ce titre essentiel. Cette communication permet de valoriser les investissements engagés et d’apporter des garanties aujourd’hui fortement recherchées tant sur un plan contractuel (ex. appels d’offres, exigences de partenaires) que sur un plan d’image vis-à-vis du public concerné.
3/ Quelles démarches adopter ?
Pour l’ensemble des raisons évoquées ci-dessus, il est déterminant d’engager dès à présent la démarche de mise en conformité.
Sur un plan opérationnel, organiser cette mise en conformité suppose plusieurs mesures :
A/ La cartographie des traitements :
La cartographie des traitements est un impératif non seulement légal mais également de bonne gouvernance. En effet, l’omission d’un traitement de données à caractère personnel y compris s’il est effectué sous format papier, est source d’engagement de responsabilité. Il fait également peser sur l’organisation (privée comme publique) un risque important au niveau de la préservation de son patrimoine informationnel. Cette cartographie s’effectue par interview, contrôle sur pièces et complétion de formulaires spécifiques utilisés par l’auditeur.
B/ L’établissement / la mise à jour / la consolidation du Registre des traitements :
Le registre des traitements doit être établi selon des critères stricts et exhaustifs : Quels sont les traitements mis en œuvre ? Les données traitées sont-elles sensibles ? Quels sont les objectifs poursuivis ? Des sous-traitants sont-ils impliqués dans les traitements ? Les données sont-elles transférées ? Autant de questions dont les réponses doivent figurer au registre tenu par le DPO (Cf. ci-dessous).
C/ La désignation du DPO soit en interne soit via contrat de prestation de service :
La désignation d’un DPO est une obligation pour l’ensemble du secteur public. Les personnes privées mettant en œuvre des traitements à grande échelle ou des traitements de données sensibles sont également tenues de nommer un DPO avant le 25 mai 2018. Le DPO doit être indépendant, compétent et doté de moyens adéquats. La désignation d’un dirigeant est, dans la plupart des cas, prohibée en raison du risque de conflit d’intérêt. En effet, celui qui détermine les finalités d’un traitement ne peut être celui qui s’assure de la conformité du dispositif par rapport aux droits des utilisateurs. La compétence technique et juridique du DPO doit être également prise en compte. Le DPO doit en effet contrôler la conformité juridique des traitements, ce qui dépasse de loin les missions initiales du Correspondant Informatique et Libertés (CIL). A ce titre La désignation d’un DPO en interne peut ainsi s’avérer délicate et justifier une externalisation par contrat de prestation de service spécifique.
D/ La mise en conformité juridique de vos traitements (Etude d’impact PIA ciblées sur les traitements à risque avec tests d’intrusion – legal opinion sur les questions spécifiques – gestion des droits des personnes) :
L’étude d’impact (« PIA », pour Privacy Impact Assessement)[5] est une méthode visant à vérifier qu’un traitement respecte les droits fondamentaux des personnes et minimise les risques en termes de sécurité et de violation des obligations légales. Elle sera sollicitée par le DPO pour les traitements dits à risques (traitements de masse, profilage, données de santé par ex.). Le DPO veillera également à assurer la réponse effective aux droits des personnes dont le droit à la portabilité qui est une nouveauté à la fois du GDPR et de la Loi pour la République Numérique[6].
E/ Formations– sensibilisation – transfert de compétences :
Le droit des données personnelles est un droit spécifique en pleine mutation à mesure que la transition numérique s’intensifie. Une présentation pratique et adaptée des problématiques et bonnes pratiques en matière de réglementation applicable apparaît dans ce contexte particulièrement pertinente. En effet, la plupart des manquements au droit des données personnelles est le fait de négligences ou de méconnaissances des règles applicables, des obligations et de leur portée. Une démarche de mise en conformité devra ainsi nécessairement s’accompagner de missions de sensibilisation et de formation des personnes concernées.
Fort de près de vingt années d’expertise aux côtés des acteurs du digital et de l’innovation, le Cabinet HAAS, triplement labélisé CNIL, propose un accompagnement dédié au secteur privé et une offre spécifique au secteur public sur les sujets de Data Compliance. Souple et modulable cette offre inclut de manière optionnelle un contrat de prestation de service permettant d’externaliser la fonction DPO ainsi qu’un programme de formations labélisées CNIL.
Pour plus d’informations, cliquez ici
[1] Cf. Cf. RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données», http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
[2] Cf. https://www.haas-avocats.com/data/pourquoi-designer-dpo/
[3] Cass 25 juin 2013, https://www.haas-avocats.com/actualite-juridique/la-cession-dun-fichier-client-non-declare-a-la-cnil-est-nulle/
[4] L’accountability est défini par la CNIL comme « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». l’accountability est au cœur du RGPD.
[5] https://www.haas-avocats.com/data/raisons-mener-une-etude-dimpact/
[6] Cf. pour une étude sur la portabilité https://www.haas-avocats.com/data/portabilite-des-donnees-comment-les-consommateurs-peuvent-recuperer-leurs-donnees-les-transferer-autre-operateur/
Je m'abonne