01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

#RGPD : quelle méthodologie pour votre mise en conformité ?

Mise en conformité RGPD notre méthodologie
  • Actualité juridique, Base de données, CNIL, Data, Données personnelles, Droit communautaire, Fichier informatique, Information et libertés, Loi Informatique et libertés

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 dit Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai 2018. Si aujourd’hui cette nouvelle réglementation occupe largement le terrain médiatique et préoccupe nombre de Directions d’entreprises ou d’entités publiques déjà très sollicitées sur cette question, une série de constats éclairants peuvent utilement être effectués.

Les trois points suivants, nés de retours d’expériences qui ne sauraient être exhaustifs ou généralisés visent principalement à tordre le coup à nombre d’idées reçues concernant la démarche de conformité, ses enjeux et perspectives.

 

1/ L’approche de compliance ne doit pas tomber dans l’alarmisme anxiogène

 
Les premières communications entourant le RGPD n’ont eu de cesse de rabâcher une réalité objective : l’explosion du risque en cas de non-conformité. En effet le risque de sanction augmente de manière exponentielle à compter du 25 mai 2018 puisque l’on passe de 3 millions d’euros (risque actuel) à 20 millions d’euros ou 4% du chiffre d’affaire mondial consolidé.

Une telle évaluation du risque ne saurait être le moteur du déclenchement de la démarche de conformité et ce pour plusieurs raisons :

  • La réticence de certaines Directions Générales vis-à-vis d’un nouveau texte européen vu à tort comme générateur de contraintes et de coûts non productifs. « Business first » ![1]
  • Ce risque de sanction élevée (auquel il faudrait ajouter le risque pénal) demeure théorique. En effet, le principal risque est la publicité associée aux sanctions même symboliques de la CNIL. La réputation de l’entreprise ou de l’entité publique peut être sérieusement endommagée par une telle publicité et avoir un impact désastreux pour l’activité.
  • En réalité, la mise en conformité RGPD doit avant tout être abordée comme une opportunité : structuration de l’entreprise ou de l’entité publique, établissement de principes de gouvernance permettant de valoriser le patrimoine informationnel, différenciation concurrentielle par le biais d’apport de nouvelles garanties en termes de sécurité et de confidentialité, renforcement de la confiance des clients et partenaires etc. les exemples ne manquent pas.

 

2/ La DSI ne saurait être la seule direction portant le projet

 
C’est à tort que les DSI se voient confier le dossier de la mise en conformité RGPD. La raison est simple : la conformité des traitements doit impliquer l’ensemble des Directions (Directions générales, Directions métiers, Directions marketing, Directions des Ressources Humaines, Communication etc.).

Si les questions IT liées à la sécurité des systèmes d’information (gestion des habilitations, politique de gestion des incidents, processus de pseudonymisation etc.) doivent naturellement associer pleinement la DSI à la démarche de conformité, le budget correspondant à cette démarche ne saurait être porté par cette seule Direction au regard de son aspect transverse et des enjeux de gouvernance associés.

 

3/ Une vision purement juridique ou purement IT est à proscrire

 
L’un des intérêts majeurs du RGPD avec son principe de Privacy by Design est de créer le lien entre le juridique et le technique dans une démarche globale d’accountability. Concrètement cela signifie que la conformité juridique d’un traitement dès le moment de sa conception (privacy by design) devra donner lieu à un paramétrage technique dudit traitement au regard des préconisations juridiques établies. Plusieurs questions devront en effet être traitées sur un plan juridique (ex. quelles données collectées ? quelle durée de conservation ? quelle finalité ? quelles informations données à la personne ? etc.) afin de paramétrer techniquement le traitement et ses mesures de sécurité.

De même les dispositifs techniques et autres principes organisationnels mis en œuvre par le responsable de traitement ou le sous-traitant devront donner lieu à une formalisation juridique afin que l’entité soit en mesure de justifier des garanties qui entourent la mise en œuvre du traitement (principe d’accountability).

Il en résulte un lien indissociable entre l’expertise juridique et l’expertise technique.

 

La solution préconisée :

une démarche mêlant Juridique & IT basée sur les principes suivants : souplesse – pragmatisme – adaptation et sensibilisation

Voici, en synthèse, plusieurs aspects à prioriser dans la démarche de mise en conformité :

  • Associer la Direction Générale et les Directions concernées au travers d’une réunion de cadrage globale alliant sensibilisation aux enjeux du RGPD, identification des opportunités pour la structure et prise en compte des contraintes et impératifs métiers
  • Prioriser la démarche en distinguant le « must to have» du « nice to have ». Définir à partir de là un séquençage des prestations cohérent au regard de l’existant au sein de la structure.
  • Déclencher en priorité une cartographie des traitements en vue de l’établissement du registre d’activité des traitements. Cette phase implique une expertise juridique particulière et peut utilement associer le futur DPO[2] (Délégué à la protection des données) et/ou les Référents Informatiques et libertés de la structure dans le cadre d’un transfert de compétences. Des outils spécifiques pourront être utilisés dans le cadre de cette opération étant précisé qu’il ne s’agit ni d’un impératif ni d’un aspect substantiel des coûts à prévoir. La « valeur » de cette prestation réside en effet dans la capacité d’identification du shadow IT[3], des contraintes métiers, des process de l’entité qui supposent des interviews in situ et une méthodologie d’investigation spécifique. Ces aspects devront être confrontés à un référentiel légal protéiforme mais également, pour les aspects liés à la DSI une expertise IT (évaluation des mesures de sécurité, impact de la purge des données sur le SI, modalités de mise en œuvre des procédés de pseudonymisation etc.).
  • Une fois le registre établi – document de gouvernance intégrant la cartographie de chaque traitement, le référentiel légal applicable et les recommandations de consolidation, un plan d’actions général pourra être utilement élaboré.
  • Suivront plusieurs missions complémentaires optionnelles dont notamment :
  1. La réalisation d’études d’impact DPIA pour les traitements à risque[4]
  2. Compléter / consolider le « référentiel sécurité »[5]
  3. Déployer des formations de sensibilisation du personnel

 

Depuis plus de vingt ans, le Cabinet HAAS, triplement labélisé CNIL accompagne ses clients du secteur public comme du secteur privé dans la mise en conformité de leur activité au RGPD.

Pour plus d’informations concernant notre prestation d’accompagnement, cliquez ici.

[1] https://www.haas-avocats.com/data/gdpr-comment-sensibiliser-direction/

[2] https://www.haas-avocats.com/data/pourquoi-designer-dpo/

[3] https://www.haas-avocats.com/ecommerce/byod-shadow-dsi-comment-concilier-efficacite-securite-informatique/

[4] https://www.haas-avocats.com/data/raisons-mener-une-etude-dimpact/

[5] https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com