Au-delà du juridique, le RGPD impacte les processus de l’organisation

Depuis 1978 en France, date de l’adoption de la loi Informatique et Libertés, le sujet de la protection des données personnelles relevait généralement de la compétence des services juridiques des organisations. Cela se limitait même souvent au respect des formalités CNIL et aux mentions d’information des personnes lors de la collecte de données les concernant. Les services informatiques et la gestion des risques étaient rarement ou peu impliqués dans cette démarche de conformité à la loi, à l’exception parfois, du responsable de la sécurité du système d’information, sur la partie qui le concernait.

L’arrivée du RGPD implique une remise en question de ces modes de fonctionnement et comme tout chamboulement d’habitudes, cela ne se fait pas sans quelques résistances au sein des entreprises.

Des grands chantiers sur le plan organisationnel et technique

Pour répondre à leurs obligations, les organisations doivent commencer par référencer et documenter l’ensemble des traitements de données personnelles, identifier la source de la collecte des données et les destinataires de ces données, déterminer si elles agissent en qualité de responsable de traitement, de sous-traitant ou de responsable conjoint, vérifier la base légale de ces traitements, évaluer les écarts de conformité et les risques associés aux traitements de données personnelles.

À l’issue de cette première étape, un certain nombre d’actions devront être planifiées, priorisées et déclinées en mode projet dans un laps de temps relativement court au regard de l’ampleur de la tâche selon le niveau de maturité de l’organisation.

Ainsi, parmi les principaux chantiers, nous pouvons citer les suivants :

• le diagnostic de l’existant (identification et inventaire des traitements de données personnelles, analyse de leur conformité et évaluation des mesures de protection en place) ;
• la déclinaison en mode projet d’un plan de mise en conformité avec le RGPD : alimentation et mise à jour du ou des registres des traitements, information des personnes, gestion des droits des personnes et notamment du droit à l’oubli et à la portabilité des données, gestion de la preuve du consentement, gestion des durées de conservation, gestion de la notification et de la communication des violations de données personnelles, encadrement des sous-traitants, etc. ;
• la mise en place d’une politique et d’une gouvernance de la protection des données ;
• la prise en compte de la gestion des risques pour les droits et libertés des personnes dans les processus ;
• la nécessaire évolution des systèmes IT impactés par le nouveau règlement : obligation de « privacy by design » et notamment respect des principes de minimisation, de transparence et de sécurité par défaut, gestion de la portabilité des données, de la limitation du traitement, de l’effacement des données, mesures garantissant la confidentialité des données…

La portabilité par exemple, implique la mise en place d’une couche additionnelle de traitement des données afin d’extraire et de filtrer les données qui sont hors de portée de l’obligation (telles que les données déduites ou induites ou les données relatives à la sécurité des systèmes). Il est donc recommandé d’identifier en amont les données concernées. Les responsables de traitements pourront par exemple implémenter des outils permettant aux personnes concernées de sélectionner les données pertinentes qu’elles souhaitent recevoir, transmettre ou exclure et si besoin de trier les données concernant d’autres personnes.

La gestion des risques pour les droits et libertés des personnes

À partir de mai 2018, toute organisation devra justifier d’une gestion des risques liés au traitement qu’il met en œuvre. De fait, pour évaluer les risques qui pèsent sur les données, il conviendra d’étudier :

• comment, par qui et avec quelles solutions applicatives sont traitées les données personnelles ;
• quelle architecture technique est utilisée pour traiter ces données ;
• quelles mesures de sécurité techniques et organisationnelles doivent être prises pour réduire les risques, y compris selon les besoins, la pseudonymisation et le chiffrement des données personnelles.

L’analyse des risques doit être méthodique et structurée. Son niveau de granularité devra être adapté en tenant compte notamment du contexte, de la finalité du traitement, du volume et de la sensibilité des données, de la quantité et de la vulnérabilité des personnes concernées.

À l’issue de cette analyse des risques, le responsable de traitement, sur les conseils et avec l’assistance du DPO [1] le cas échéant, devra déterminer s’il persiste des risques élevés liés aux traitements de données pour les droits et libertés des personnes. Dans ce cas, il devra mener une analyse d’impact sur la protection des données.

Auparavant, il devra avoir défini les rôles et l’implication des acteurs et tout particulièrement du DPO, des responsables de chaque Business Unit, du CISO [2] ou du responsable du service IT, du responsable conjoint le cas échéant, des sous-traitants, de l’éditeur ou du fabricant de la solution utilisée éventuellement, des experts externes (juristes, techniciens, sécurité, sociologues, éthique…).

Il peut être utile d’utiliser un arbre de décision afin de déterminer les cas dans lesquels il est nécessaire de mener une analyse d’impact, mais aussi pour en définir le niveau de détail en fonction du type de traitement.

L’analyse d’impact doit être intégrée aux processus de revue opérationnelle et de gestion des risques, de développement et de conception, en tenant compte du contexte et de la culture de l’entreprise.

Enfin, en cas de contrôle d’une autorité de protection des données, le responsable de traitement devra justifier de son choix de réaliser un traitement en dépit des risques préalablement identifiés.

Pour Stéphane Petitcolas [3] , qui a passé 5 ans à l’expertise technique de la CNIL, « avec le règlement européen, la coopération entre le monde de l’IT et celui des juristes devient un prérequis pour toute organisation qui souhaite s’engager dans une démarche de mise en conformité ».

Le maintien de la conformité dans le temps

Le RGPD offre l’opportunité aux spécialistes de l’informatique de jouer un rôle central tant dans la mise en place du nouveau règlement que par la suite. Cela s’explique d’abord par le fait que la gestion des risques est un processus d’amélioration continue qui nécessite de tester, d’analyser et d’évaluer régulièrement l'efficacité des mesures de protection et de réévaluer l’analyse d’impact en cas de modification du traitement ou a minima tous les trois ans. D’autre part, l’obligation d’accountability, impose aux responsables de traitements de documenter les mesures mises en place pour garantir la conformité des traitements de données et d’être en mesure d’en apporter la preuve.

La conception, l’évolution et le maintien des architectures, l’administration et le maintien des mesures de sécurité comme la gestion des risques liés aux traitements de données représentent donc des enjeux importants pour la réussite de ces projets dont l’objectif final, ne l’oublions pas, vise à garantir une meilleure protection des données des individus.