L’horloge tourne pour la mise en œuvre de RGPD* et pourtant…


Rédigé par Jacques Hoeusler, Teradata le 28 Avril 2017

Le 24 mai 2018, le nouveau règlement européen sur la protection des données, dit RGPD (GDPR en anglais), entrera en application dans tous les pays de l’Union. L’adoption de ce texte, indique la Cnil, au-delà de la nécessité d’un cadre juridique unique pour les pays de l’UE en matière de données personnelles, permettra de poursuivre trois objectifs : « renforcer les droits des personnes », « responsabiliser les acteurs traitant des données » et « crédibiliser la régulation ». Dans les faits, les entreprises semblent peu préparées à intégrer le règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. L’horloge tourne.



Jacques Hoeusler, Consultant Principal Teradata
L’échéance de l’application de la réglementation RGPD approche à grands pas. Une étude récente (enquête SERDA) montre qu’un très grand nombre d’entreprises (87%) ne seront pas prêtes ; près de la moitié n’ont encore rien prévu. Des « menaces financières » attachées à une non-conformité censées incitatives – s’élevant au montant le plus élevé entre 4% du chiffre d’affaires mondial et 20 millions d’euros – ne semblent pas encore produire d’effet. Pis, la perte de confiance des clients** pourrait représenter un coût encore plus important. Elle résulterait de l’incapacité de l’entreprise à répondre de manière satisfaisante aux questions et injonctions suivantes :
- quelles sont les données me concernant que vous possédez : mon nom ? un ou plusieurs numéro(s) d’identification? des données de localisation ? des identifiants sur le Web ?;
- Ai-je consenti à ce que vous conserviez mes données ? Prouvez-le !;
- Je veux que vous :
o effaciez mes données et m’en apportiez la preuve ;
o transfériez toutes mes données à une autre entreprise ;
o m’expliquiez comment vous avez défini mon profil et je veux pouvoir m’y opposer !;
o m’indiquiez toutes les données que vous possédez sur moi, et comment et pourquoi vous les utilisez.

L’une des raisons à la faible mobilisation des entreprises à se préparer à RGPD semble être qu’elles ne savent pas par où commencer. Voici quelques suggestions et actions à entreprendre :

LES GRANDES QUESTIONS A SE POSER

• Vos processus de gestion des données personnelles sont-ils transparents pour vos clients et vos employés ?
• Toutes les données personnelles ne sont-elles utilisées que dans le cadre des consentements donnés par les clients ?
• Les données personnelles conservées, sont-elles limitées au strict nécessaire ?
• Etes-vous en mesure de supprimer en continu toutes les données erronées ?
• Avez-vous mis en œuvre des limitations de stockage sur les données ? Ne pas conserver des données non-utilisées, et plus longtemps qu’autorisé)
• Les données sont-elles suffisamment sécurisées, en interne et chez des tierces parties ?

QUI EST CONCERNE ?

A – Produits et Services
• Evaluer les T&Cs (Termes & Conditions) relatifs à chaque produit et service ;
• Mesurer les volumes de données personnelles attachées à chaque produit et service ;

B – Processus Métiers
• Confirmer les flux de données ;
• Confirmer qui accède aux données, quand et pourquoi ;
• Evaluer la sécurité du stockage des données ;
• Identifier les cas de transformation et de réutilisation de données dans d’autres buts ;

C – Ecosystème IT
• Identifier les systèmes à haut risque ;
• Pour chacun, établir la traçabilité des mouvements de données personnelles ;
• Identifier les propriétaires de données, les cas d’utilisation et les utilisateurs ;

D – Contrôleurs des Données / Processeurs de Données
• Identifier les rôles et responsabilités ;
• Identifier les T&Cs (Termes et Conditions) relatifs aux tierces parties ;
• Evaluer les procédures de sécurité et de prévention de violation de données ;

E – Personnes
• Etablir les rôles et évaluer l’adéquation entre les privilèges d’accès aux données et les rôles ;

F – Situation Géographique
• Identifier la localisation des serveurs de données ;
• Evaluer la sécurité de chaque localisation ;

G – Violation des Données
• Evaluer les processus de contrôle de l’utilisation et de la gestion des données ;
• Evaluer les processus de contrôle des transferts de données tant à l’intérieur qu’à l’extérieur de la Communauté européenne ;

H – Processus de Contrôle
• Evaluer l’organisation et les processus en œuvre pour traiter les violations de données :
- En interne : identification des failles (exemple : emails illégaux) ;
- En externe : cyber-attaques ;

I – Sécurité des Données
• Pour chaque domaine de données, identifier les mesures de sécurité appropriées ;
• Identifier les écarts avec les mesures de sécurité en place, et y remédier.

LES ACTIONS A MENER 

1 – Prise de conscience
• S’assurer que tous les preneurs de décisions et responsables de l’entreprise sont bien au fait du contenu et des implications de RGDP ;
• RGPD exige l’identification systématique de qui accède à quelle donnée personnelle, quand, combien de fois, pourquoi, et avec quels outils. Tous les utilisateurs concernés doivent être associées à cette prise de conscience ;

2 – Informations conservées
• Documenter les informations personnelles conservées par l’entreprise, notamment leur provenance et avec qui elles sont partagées (en interne et en externe). Un audit est peut-être à organiser ;
• RGDP exige l’identification de toutes les données personnelles conservées, de leur provenance (avec traçabilité), et des applications et des utilisateurs qui les exploitent (usage) ;

3 – Communication d’informations privées
• Examen des pratiques en cours pour traitement d’informations privées, et mise en place d’un plan d’action pour y apporter tous les changements nécessaires pour conformité à RGDP ;
• RGPD exige l’identification de la façon dont les utilisateurs et les applications accèdent aux données personnelles, de façon à ce que des contrôles du bon respect de la vie privée soient mis en place à tous les points d’accès ;

4 – Droits des personnes privées
• Examen des procédures en place pour s’assurer qu’elles respectent tous les droits des personnes privées, notamment les procédures de destruction de ces données et de fourniture de données électroniques dans différents formats usuels ;
• RGPD exige d’identifier où se trouvent les données privées à travers tous les systèmes, et définit la gestion des requêtes d’accès (portabilité, droit à l’oubli,…) ainsi que les personnes à informer dans un délai maximum de 72 heures en cas de violation des données ;

5 – Requêtes d’accès à des données personnelles
• Examen des procédures en cours et corrections appropriées pour traiter les requêtes d’accès à des données personnelles ;
• RGPD exige d’identifier où se trouvent les données privées à travers tous les systèmes, et définit la gestion des requêtes d’accès (portabilité, droit à l’oubli,…), ainsi que les personnes à informer dans un délai maximum de 72 heures en cas de violation des données.
6 – Fondement juridique pour traitement de données personnelles
• Documenter les informations personnelles conservées par l’entreprise, notamment leur provenance et avec qui elles sont partagées (en interne et en externe). Un audit est peut-être à organiser ;
• RGPD exige l’identification des lieux et des modes de traitement de données personnelles, avec traçabilité complète et identification des transformations “à la volée” ;

7 – Consentement
• Examen des procédures en place pour obtention et enregistrement des consentements des personnes, et corrections appropriées ;
• RGPD exige l’identification de tous les endroits où sont conservées des données personnelles, où des consentements sont requis, et où des consentements ne sont plus valides ;

8 – Enfants
• Examen des systèmes en œuvre pour vérifier les âges des personnes et pour recueillir le consentement des parents ou des tuteurs pour le traitement des données des enfants, et corrections appropriées ;
• RGPD exige l’identification de tous les endroits où sont conservées des données d’enfants, et donc de tous les endroits où les âges doivent être vérifiés, et où le consentement des parents ou tuteurs est requis.

9 – Violation des données
• Examen des procédures en place pour détecter, communiquer sur, et analyser toute violation de données personnelles, et corrections appropriées ;
• RGPD exige l’identification de tous les lieux et modes d’utilisation de données personnelles à travers toutes les technologies, et la communication de toute violation de données dans les 72 heures maximum ;

10 – Protection des données par conception et évaluation d’impact
• Examen des procédures permettant la protection des données le plus en amont possible dans les systèmes et tout au long des chaînes de traitement, et corrections appropriées ;
• RGPD exige l’identification des lieux et des modes d’accès et de traitement des données personnelles, avec traçabilité complète et identification des transformations “à la volée”. L’automatisation de la solution RGPD assure la précision et l’actualité des analyses d’impact.

11 – DPOs (Data Protection Officers)
• La nomination d’un DPO par entreprise concernée est obligatoire, et il est recommandé que ce rôle soit positionné le plus haut possible dans la hiérarchie ;
• Une bonne solution RGPD doit fournir aux DPOs et aux équipes de gouvernance des données des faits précis et actuels leur permettant d’exercer leurs fonctions dans les meilleures conditions.

12 - International
• Si l’entreprise opère au niveau international, tous les flux de données entre les entités européennes et non-européennes de l’entreprise sont concernés par RGPD ;
• Une bonne solution RGPD doit identifier tous les flux de données et tous les lieux et modes d’accès et de traitement des données personnelles, tant en interne qu’en externe.

La mise en œuvre d’un tel programme RGPD peut sembler complexe et ardue. D’après la récente enquête SERDA précédemment mentionnée, bon nombre d’entreprises déclarent qu’elles manquent d’effectifs et de temps pour s’y atteler réellement. Mais, il est cependant nécessaire d’agit avant qu’il ne soit trop tard. La bonne nouvelle est que les compétences extérieures pour les aider efficacement existent.

*GDPR en langue anglaise
**A titre d’exemple baisse du cours de l’action de plus de 15% et la perte de centaines de milliers de clients comme ce fut le cas pour Yahoo

A propos de l’auteur

Jacques Hoeusler est Consultant Principal chez Teradata International. 
Ingénieur Civil des Mines et diplômé de l’Université de la Sorbonne, il est spécialiste des questions de gouvernance des données, et possède une grande expertise des environnements IT, notamment dans l'industrie des télécommunications. Après 14 ans dans le Conseil en Management, il a rejoint AT&T en 1995 puis Teradata en 2007.



Dans la même rubrique :