NODYA GROUP EN BREF

Depuis son origine et à chaque moment clé de son évolution, NODYA Group a cherché à développer une réponse forte, flexible et opérationnelle aux défis du digital auxquels font face les Entreprises.

Avec une équipe de plus de 100 experts agissant depuis de nombreuses années dans les différentes disciplines du numérique, NODYA Group a l’ambition d’être un acteur clé Français du marché de la Transformation Digitale des grandes structures.

13 avr

[Actualités] General Data Protection Regulation, quels défis pour la nouvelle réglementation européenne ? – EPISODE 4

Les 6 et 7 mars derniers s’est déroulé le salon BIG DATA Paris 2017 au Palais des Congrès. Deux journées de conférences, d’ateliers et de démonstrations pour comprendre l’importance des données et leurs enjeux. Julien LAMBERT et Christophe DENHEZ, nos envoyés spéciaux, nous ont préparé une synthèse des différentes conférences du salon.

GDPR, relever les défis de la nouvelle réglementation européenne sur la protection des données personnelles. Soyez prêts pour mai 2018 !

Par Sophie NERBONNE, Directrice de la conformité à la CNIL, et Me Alain BENSOUSSAN, Avocat à la cour, Président du réseau mondial Lexing Lawyers, Chargé d’Enseignement à l’Ecole Centrale Supélec et à l’Institut d’études politiques de Paris, Président de l’Association des Data Protection Officers.

 La dignité numérique se définit comme le refus, via le monde numérique, de porter atteinte à la dignité humaine.

En souvenir des fins auxquelles ont pu être utilisés les fichiers sous Vichy, nous comprenons facilement les raisons pour laquelle la Loi Informatique et Liberté (LIL) inscrit dès l’article premier l’informatique dans le cadre des droits de l’homme.

Pour Me Bensoussan, il ne fait aucun doute qu’un des enjeux majeurs de la nouvelle réglementation européenne est de préserver le droit fondamental de la dignité numérique. Sophie Nerbonne rappelle de son côté que « la dignité est le 1er article de la déclaration universelle des droits de l’homme ».

 

La nouvelle règlementation européenne, la General Data Protection Regulation, impose aux entreprises une mise en conformité avant le 25 mai 2018 sous peine de lourdes sanctions pénales.

 

La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l’Union européenne (UE).

La nouvelle réglementation européenne, General Data Protection Regulation (GDPR), viendra remplacer cette directive de 1995 pour notamment renforcer les protections des données individuelles, considérant que si une entreprise ne peut déterminer directement l’identité d’un individu à partir des données collectées, un tiers pourrait potentiellement le faire.

GDPR est traduit en Français en Règlement Général sur la Protection des Données (RGPD).

Plus que jamais au centre des préoccupations des entreprises, la conformité aux exigences requises par le GPDR devient cruciale. Avec une échéance fixée au 25 mai 2018, les entreprises risquent de lourdes sanctions pénales pouvant aller jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaires mondial en cas d’infraction.

Un peu plus d’un an pour se mettre en conformité et en position concurrentielle. Présentation de la feuille de route en 20 étapes et des principes clés de la GPDR.

L’avocat à la cour et la directrice de la CNIL sont venus présenter devant un amphithéâtre bondé, les principes fondamentaux de cette nouvelle réglementation européenne et ont dévoilé les solutions existantes pour anticiper au mieux les directives de cette réglementation.

Me Bensoussan nous propose une feuille de route en 20 étapes pour une mise en conformité au GPRD en 12 mois :

  1. Politique générale I&L (Informatique et Liberté)
  2. Nomination du DPO (Data Protection Officer) : le nouvel homme fort en matière de protection de données à caractère personnel.
  3. Gouvernance de la donnée personnelle
  4. Cartographie
  5. Organisation
  6. Registre
  7. Principes fondamentaux
  8. Durée de conservation
  9. Contrats & Mentions obligatoires
  10. Protection par la conception
  11. Protection par défaut
  12. Accountability (Documentation complète et preuve que tout a été mis en œuvre)
  13. Etude d’impacts
  14. Sécurité Gestion de faille
  15. Droit des personnes
  16. Formation et sensibilisation
  17. Flux transfrontières
  18. Certification
  19. Conformité
  20. Mise en condition opérationnelle

 

« Partez maintenant ! Vous n’y arriverez pas en 12 mois » ironise le président de l’Association des Data Protection Officers conscient des impacts organisationnels, juridiques et techniques de son énumération.

Il estime à ce propos que les coûts de mise en œuvre seront répartis à 50% sur les actions techniques, à 40% sur les actions juridiques – dont 20% sur les procédures juridiques (car il y en aura) – et à 10% sur les actions organisationnelles.

 

Principes clés de la GDPR:

Pour l’avocat, les 5 principes clés à retenir sont :

  1. La minimisation des données et de leur utilisation : Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées
  2. Le consentement sur les finalités spécifiques : Obligation de l’obtention du consentement de la personne dont les données sont traitées.
  3. La protection des données dès la conception (by design) : La protection des données doit être mise au cœur du développement des produits et services.
  4. La protection par défaut : garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
  5. L’accountability : Apporter la preuve que tout a été mis en œuvre.

Pour terminer, Alain Bensoussan nous a présenté sa boutique DPO, une plateforme d’outils conçue pour augmenter l’efficacité et l’agilité professionnelles dans le domaine Informatique et libertés (GDPR en combinaison avec la législation nationale).

Se préparer au nouveau règlement, c’est organiser sa gouvernance Informatique et Libertés (I & L). Découvrez 3 séries d’exigences sur l’organisation interne, sur la vérification de la conformité des traitements à la loi I&L, et sur la gestion des plaintes et incidents.

Pour Sophie Nerbonne, directrice de la conformité à la CNIL, se préparer au nouveau règlement c’est organiser sa gouvernance I&L.

La gouvernance Informatique et Libertés (I&L) est l’ensemble des mesures, des règles et des bonnes pratiques qui permettent de préciser les responsabilités qui interviennent dans la gestion des données à caractère personnel en appliquant les lois et règlements.

Le GDPR concerne toute personne et organisation basée dans l’union européenne mais aussi les non-membres de l’UE s’ils gèrent les données de résidents européens. Un éditeur de logiciels américain traitant les données d’une société française devra aussi respecter le GDPR.

La responsable de la CNIL distingue 3 séries d’exigences sur l’organisation interne, sur la vérification de la conformité des traitements à la loi I&L, et sur la gestion des plaintes et incidents :

 

AXE 1 : Des exigences sur l’organisation interne

Tout organisme devra garantir un haut niveau de protection des données à caractère personnel en permanence au niveau des procédures internes et externes. Il faudra donc prendre en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données personnelles (par exemple : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire)

Pour piloter la gouvernance des données personnelles les organismes auront besoin d’un véritable chef d’orchestre qui exerce une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données (CIL et futur DPO). La désignation d’un délégué à la protection des données sera obligatoire en 2018.

Un organisme ayant un CIL (formé et expérimenté) qui dispose de réels moyens d’exercer ses missions à déjà rempli environ 1/3 du référentiel.

 

AXE 2 : Des exigences sur la méthode de vérification de la conformité des traitements à la LIL (Loi Informatique et Liberté)

Des modifications importantes du contrôle interne seront nécessaires pour d’une part réaliser la conformité et d’autre part pour que cette conformité soit atteinte de manière optimale en coût, en effort et en risque.

Les organismes devront apporter des garanties sur leur méthode de contrôle de leur conformité.

Pour prouver leur conformité au règlement, ils devront non seulement constituer et regrouper la documentation nécessaire mais les actions et documents réalisés à chaque étape devront être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

« Ce n’est plus juste une déclaration mais une véritable exigence de conformité dans le temps » insiste la directrice.

 

AXE 3 : Des exigences sur la gestion des plaintes et incidents

« Si les informations relatives aux procédures et politiques ne peuvent être fournies, les autorités de protection des données pourront sanctionner une organisation sur la base de ce seul manquement, indépendamment du fait qu’il y ait eu une violation des données »

Les organisations devront donc apporter de la transparence sur :

  • les procédures, les outils et le rôle du CIL dans leur gestion des réclamations et l’exercice des droits des personnes.
  • la documentation des opérations à des fins de démonstration (journalisation des évènements de sécurité et journaux des incidents)
  • la gestion des violations de données (Procédure, Notification aux personnes : violation, destruction, perte, altération, divulgation, accès non autorisé)
La CNIL accompagne les professionnels dans leur mise en conformité Sophie Nerbonne expose pour finir le guide de la CNIL d’entrée en fonction du CIL en 6 points.
  1. PRÉPARER sa désignation

Voici ce que doit faire un organisme pour organiser au mieux la prise de fonction du futur Correspondant Informatique et Libertés (CIL)

  • Établir un pré-inventaire : réaliser une cartographie et un état des lieux des traitements de données, même macroscopique, mis en œuvre par l’organisme. Cela permettra d’évaluer la charge de travail du futur CIL et révélera l’ampleur des directions, fonctions, processus et métiers impactés.
  • Choisir le CIL : s’assurer de l’intérêt de la personne pressentie et de ses qualifications dans le domaine de la conformité Informatique et Libertés. Prévoir un rattachement de la fonction de CIL à un membre de l’instance exécutive. S’assurer qu’il n’y aura pas de conflit d’intérêt empêchant la validation de la désignation.
  • Acter la désignation : Faire acter/valider la désignation du CIL par un organe exécutif de l’organisation. Faire signer au CIL, si besoin, un engagement de confidentialité et permettre au CIL d’accéder dans l’organisme à toutes informations utiles à ses missions et de bénéficier du nécessaire support de tous ses futurs interlocuteurs
  • Sensibiliser régulièrement : Informer l’exécutif des missions essentielles du CIL et de son indépendance organisationnelle afin que sa mission soit soutenue et comprise au plus haut niveau. Mettre en place un plan de communication interne pour informer l’ensemble des employés du rôle du CIL, de son statut et de ses missions.

 

  1. ORGANISER sa désignation

Voici les actions que le futur CIL peut mettre en œuvre en amont afin de préparer au mieux sa prise de fonction :

  • S’informer : Consulter la documentation en ligne et télécharger le Guide du CIL pour s’informer sur le rôle du CIL
  • Echanger avec le responsable de traitement : Définir les modalités de travail notamment en ce qui concerne les relations entre le CIL et le responsable de traitement (interlocuteurs relais identifiés par le responsable de traitement, fréquence de réunions, circuit de communication, etc.).
  • Identifier ses futurs relais internes : Envisager l’opportunité ou pas (selon la taille de l’entreprise) de mettre en place un réseau de « relais » interlocuteurs privilégiés du CIL et formés par ce dernier.

Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

 

  1. SE FORMER

Voici les moyens d’acquérir les connaissances nécessaires à l’exercice de la mission de CIL :

  • Utiliser les outils mis à disposition par la CNIL : extranet réservé aux CIL, site de la CNIL, ateliers CIL.
  • Suivre des formations extérieures à la CNIL : Possibilité de suivre des formations externes aux « fondamentaux » de la protection des données dispensées par des organismes privés ou publics. Assister à des conférences. Suivre des formations aux seins de son propre organisme sur des aspects juridiques ou techniques.
  • Se documenter et mettre en place une veille
  • Mettre en place son réseau : Étudier l’opportunité d’adhérer à une association pour bénéficier de l’expérience de ses pairs.

 

  1. RESCENCER

Voici les moyens de faire l’état des lieux des traitements de données mis en œuvre dans son organisme et le mettre à jour :

  • Préparer la rencontre avec les services concernés : Collecter les organigrammes des directions. Préparer des questionnaires qui vous serviront de fil rouge lors de vos entretiens avec les opérationnels.
  • Collecter l’information : Récupérer auprès de la Direction informatique (ou DSI3) et du service qualité, les documents existants pouvant aider au recensement : cartographie fonctionnelle et applicative du Système d’Information, cartographie des flux, cartographie des risques, si elle existe, liste des applications métiers et techniques, existence de vidéosurveillance…
  • Identifier les traitements : Passer en revue les normes simplifiées et autorisations uniques publiées par la CNIL et correspondant à l’activité de votre organisme
  • Analyser et synthétiser : Mettre en place un tableau de suivi des traitements identifiés par service et classer les traitements.
  • Mettre en conformité-régulariser : Analyser la conformité des traitements identifiés sur la base des principes de la protection des données personnelles étudiés. Établir des priorités pour les régularisations. Se rapprocher de la CNIL pour un éventuel accompagnement dans la démarche.
  • Porter au registre : Créer votre modèle de fiche de registre. Structurer le registre, en distinguant notamment les traitements liés au fonctionnement de l’organisme (ex : RH, sécurité des locaux) et ceux liés à son cœur d’activité (ex : gestion des clients). Porter à ce registre les nouveaux traitements, les traitements modifiés depuis la désignation du CIL et ceux qui n’ont pas fait l’objet de formalités

 

  1. COMMUNIQUER

Voici les moyens d’informer les publics internes :

  • Se faire connaître
  • Identifier et exploiter les supports internes de communications : Se faire accompagner par la direction de la communication interne à l’organisme. Identifier les publics cibles et leurs besoins. Créer du contenu. Communiquer aux moments opportuns.
  • Organiser un réseau de relais informatiques et libertés (RIL) : Établir une fiche de mission type pour un RIL : profil, missions, % estimé du temps à y consacrer. Identifier une personne relais « Informatique et Libertés » (RIL) pour chaque direction

 

  1. PILOTER

Voici les procédures à mettre en place pour veiller à la conformité Informatique et Libertés :

  • Organiser la remontée de l’information : Participer aux réunions transversales (comité de direction, comité stratégique…) et créer une synergie (ex : création d’un comité de pilotage I&L) avec les services achats, juridique, RH, informatique par exemple. Faire inscrire régulièrement un point « Informatique et Libertés » à l’ordre du jour d’une réunion de direction (ex : état d’avancement des activités du CIL). Mettre en place un « Comité I&L ». Organiser un reporting régulier des RIL.
  • Anticiper les risques : Prévoir une procédure interne en cas de contrôle de la CNIL. Intégrer, dans les procédures d’expression de besoins ou de validation de contrat, une ligne indiquant la collecte ou non de données à caractère personnel et, le cas échéant, l’information obligatoire du CIL pour consultation. En cas de failles de sécurité et violations de données à caractère personnel, mettre en place une procédure d’information du CIL dans un délai de 24 heures.
  • Créer des documents supports
  • Gérer les demandes de droits d’accès/rectification : Mettre en place un tableau de pilotage des demandes de droit d’accès et délais de réponse et informer les services en relation avec le public (service clients, accueil physique et/ou téléphonique etc.) qu’ils peuvent être contactés directement.
  • Former
  • Auditer : Réaliser ou faire réaliser régulièrement des audits I&L.
  • Organiser le suivi de son activité : Tenir un tableau de bord de ses activités qui permettra ensuite de rédiger un bilan d’activité régulier.

Les entreprises doivent se tenir prêtes, sans quoi elles s’exposent à de lourdes conséquences financières qui pourront ternir leur réputation et leur image. L’intention positive de ce règlement est de préserver et de faire respecter les droits fondamentaux et de défendre notre « souveraineté numérique ». Je ne souhaite pas que l’Europe devienne une colonie numérique du gouvernement Trump.

En extrapolant les mots prononcés par Guillaume Poupard, Directeur général de l’ANSSI, lors de son discours d’ouverture, garantir une protection des données à caractère personnel deviendrait un élément déterminant pour gagner la confiance des utilisateurs.

Du coup en terme de stratégie d’entreprise, cette bienveillance n’est-elle pas un nouveau levier de performance pour les marques ?

Inscrivez-vous à la newsletter