Home » 2018 » avril

Monthly Archives: avril 2018

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

RGPD/GDPR : appuyez-vous sur COBIT

Dans notre précédent article intitulé RGPD/GDPR ; Les changements au 25 Mai 2018, nous vous avons proposé 10 axes clés pour devenir conforme au RGPD. La mise en conformité est, par définition, un projet transversal relevant de la gouvernance de l’Entreprise. Or, dès lors qu’on parle de Gouvernance, le référentiel susceptible de nous aider est COBIT 5. Dans quelle mesure, COBIT 5 peut-il nous aider à mettre en oeuvre le RGPD (GDPR) via ses 7 facilitateurs, en s’appuyant sur les 5 principes de la Gouvernance?

RGPD : comment COBIT peut vous aider
Crédits : Tatyana – Fotolia.com

Le RGPD (GDPR en Anglais) contient 99 articles définissant les exigences et les droits accordés aux citoyens de l’UE. Le RGPD (/GDPR) décrit également la structure de conformité et pénalités pour non-conformité. Chaque organisation a besoin de bien comprendre le RGPD (/GDPR) et de déterminer ses prochaines actions. Nous allons, pour les principaux sujets de préoccupation, décrire comment l’approche COBIT peut vous aider à y répondre.

Quel rapport en tre RGPD (GDPR) et COBIT?

Le RGPD (GDPR en Anglais) est une Règlementation Européenne destinée à la protection des renseignements et des données personnelles des citoyens de l’Union. Il s’agit donc d’une loi, applicable à toute entreprise ou organisme, public ou privé, dans l’Espace Economique Européen. Cette loi est entrée en vigueur le 4 Mai 2016 (date de publication au journal officiel de l’Union Européenne) . La Commission Européenne a accordé  deux ans de grâce aux Etats et aux organisations pour se mettre en conformité. Ce délai de grâce expire le 25 Mai 2018. Par conséquent, les sanctions prévues par loi vont s’appliquer à compter cette date. De plus, il faut reconnaître que les sanctions prévues sont dissuasives (jusqu’à 4% du chiffre d’affaires mondial annuel pour les grandes entreprises et 20 Millions d’Euros pour les TPE et PME).

Malheureusement, comme d’habitude, les organisations des pays francophones ont attendu le dernier moment pour se préoccuper de leur mise en conformité. Aussi, à un mois de l’échéance, beaucoup d’entre elles commencent seulement à se poser la question. De plus, elles pensent, de façon totalement erronée, qu’il s’agit simplement d’un projet informatique de plus.

La conformité légale et réglementaire est, par essence, un sujet de Gouvernance des Entreprises. Dans le cas précis du RGPD, il s’agit de Gouvernance du Système d’Informations. Or le référentiel de Gouvernance du Système d’Informations, reconnu dans le monde entier, n’est autre que COBIT 5. Il apparaît donc clairement que COBIT 5 peut nous aider efficacement à mettre en oeuvre des exigences du RGPD (GDPR).

Quelques exigences clés du RGPD (GDPR)

Identification des données présentant un risque élevé et analyses d’impact

Les entreprises ont désormais l’obligation effectuer des analyses d’impact sur la protection des données (DPIA) lors de l’utilisation de nouvelles technologies ou lors du lancement de nouveaux projets, pour toute donnée présentant un risque élevé pour les droits et libertés des citoyens de l’UE. Ces analyses d’impact doivent également décrire comment l’entreprise entend aborder le risque grâce à un traitement systématique et étendu ou via des activités de surveillance. Donc, cela s’apparente à une évaluation traditionnelle des risques qui analyse les risques et les mesures en place pour y remédier. Ainsi, il est simple, en nous appuyant sur la cascade d’objectifs, d’identifier les processus primaires de COBIT à considérer:

  • EDM02 Ensure Benefits Delivery ;
  • EDM04 Ensure Risk Optimization ;
  • APO11 Manage Quality ;
  • APO12 Manage Risk ;
  • APO13 Manage Security ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Protection, traitement et stockage des données personnelles

Les données personnelles de chaque personne concernée doivent être traitées de manière transparente, et uniquement pour les finalités spécifiées. L’Entreprise doit garantir un niveau « raisonnable » de protection des données et des renseignements personnels. Les données doivent être traitées en toute sécurité pour se protéger contre tout accès non autorisé, perte ou dommage. Des mesures techniques et organisationnelles appropriées doivent être mises en oeuvre. Le RGPD (GDPR) ne définit pas ce que cela signifie de façon précise. Il est cependant clair que si les données sont perdues ou volées, l’entreprise est manifestement en violation de la conformité. Les principaux processus COBIT à considérer sont donc les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO02 Manage Strategy ;
  • APO03 Manage Enterprise Architecture ;
  • APO10 Manage Suppliers ;
  • BAI01 Manage Programs and Projects ;
  • BAI02 Manage Requirements Definition ;
  • BAI03 Manage Solutions Identification and Build ;
  • BAI04 Manage Availability and Capacity ;
  • BAI06 Manage Changes ;
  • BAI07 Manage Change Acceptance and Transitioning ;
  • BAI08 Manage Knowledge ;
  • BAI09 Manage Assets ;
  • BAI10 Manage Configuration.

Consentement, portabilité, droit d’accès et droit à l’oubli

Les individus doivent donner leur consentement explicite concernant le traitement de leurs données personnelles. Rappelons que le RGPD (GDPR) considère comme traitements la collecte initialel’enregistrementl’organisationla structurationla conservationl’adaptation ou la modificationl’extractionla consultationl’utilisationla communication par transmissionla diffusion ou toute autre forme de mise à dispositionle rapprochement ou l’interconnexionla limitationl’effacement jusqu’à la destruction.

Ces personnes (« les personnes concernées ») ont le droit de savoir, sur demande, quelles données personnelles une entreprise utilise et comment ces données sont utilisées. Un citoyen de l’UE peut également obtenir, sur demande, le transfert de ses données personnelles d’une entreprise à une autre dans un format lisible par machine. De plus, les entreprises ont l’obligation  d’arrêter de traiter et / ou de supprimer des données personnelles sur un citoyen de l’UE sur sa demande. Cette exigence va plus loin: il s’agit de permettre aux citoyens de l’UE le droit d’être oublié en ayant des données personnelles supprimées sur demande. Les principaux processus COBIT à considérer sont les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO08 Manage Relationships ;
  • APO09 Manage Service Agreements ;
  • APO10 Manage Suppliers ;
  • BAI08 Manage Knowledge.

Nomination d’un délégué à la protection des données

Certaines organisations ont obligation de désigner un délégué à la protection des données (DPO). Le rôle du DPO est de superviser la stratégie de sécurité des données de l’entreprise et sa conformité au RGPD (GDPR). Alors, quelles sont les  organisations qui ont l’obligation d’avoir un DPO? L’exigence s’applique à toute organisation qui traite ou stocke de grandes quantités de données sur les citoyens de l’UE. Elle s’applique également aux organisations qui traitent ou stockent des données personnelles, surveillent régulièrement les individus. Enfin elle s’applique à toutes les autorités publiques. Pour répondre à cette exigence, les principaux processus COBIT à considérer sont :

  • EDM01 Ensure Governance Framework Setting and Maintenance ;
  • APO07 Manage Human Resources ;
  • BAI05 Manage Organizational Change Enablement.

Notification des violations de données à caractère personnel

Les entreprises (et plus particulièrement les responsables du traitement) doivent informer les autorités de contrôle dans les 72 heures suivant la découverte d’une violation de données à caractère personnel. Les sous-traitants sont généralement ceux qui découvrent en premier  une telle violation de données. Par conséquent, la loi les rend responsables d’informer sans délai le responsable du traitement. Beaucoup d’organisations ont déjà mis en place de telles procédures. Cependant,  peu d’entre elles effectuent régulièrement des tests pour s’assurer que les exigences sont bien respectées. Concernant cet axe de travail, les principaux processus COBIT à considérer sont :

  • DSS01 Manage Operations ;
  • DSS02 Manage Service Requests and Incidents ;
  • DSS03 Manage Problems ;
  • DSS04 Manage Continuity ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Assurer la conformité réglementaire

Pour assurer la conformité à la législation, les organisations ont l’obligation de s’évaluer, de surveiller et d’évaluer en permanence leurs contrôles et d’étudier les améliorations continues à mettre en oeuvre en termes de technologies et d’idées. Les organisations doivent également fournir l’assurance qu’elles suivent les obligations énoncées. Pour cette exigence du RGPD (GDPR) les principaux processus COBIT à améliorer sont les suivants :

  • APO04 Manage Innovation ;
  • APO05 Manage Portfolio ;
  • APO06 Manage Budget and Costs ;
  • MEA01 Monitor, Evaluate and Assess Performance and Conformance ;
  • MEA02 Monitor, Evaluate and Assess the System of Internal Control ;
  • MEA03 Monitor, Evaluate and Assess Compliance With External Requirements.

Quelques conseils et astuces pour réussir la mise en œuvre du RGPD

Pour faciliter le travail de mise en conformité, nous vous livrons ici une série de conseils et d’astuces basés sur COBIT 5. De plus, ces conseils et astuces proviennent des observations et recommandations issues de l’expérience d’organisations qui ont déjà entamé, et pour certaines terminé avec succès, leur marche vers la conformité au RGPD (GDPR). Ce qui suit est  donc, de fait, une liste des facteurs clés de succès à prendre en compte dans votre programme de mise en conformité.

1. Créez un sentiment d’urgence et de criticité au niveau du top management

Très logiquement, c’est la toute la première des choses à faire. Obtenir le soutien de niveau exécutif est clé. C’est ce soutien qui déclenchera les attitudes et provoquera les attentes nécessaires permettant d’adopter avec succès les bonnes pratiques de gouvernance. En effet ce sont ces pratiques qui permettront d’appliquer et de se conformer les exigences du RGPD. Pour obtenir ce soutien précieux, vous devez absolument convaincre le Comité de Direction de l’urgence et de la criticité de ce programme.

Astuce : Lisez COBIT 5 Implementation Guide pour plus de conseils et techniques permettant d’obtenir un soutien de niveau exécutif et faire reconnaître le besoin d’agir.

2. Considérez le RGPD comme une opportunité de créer davantage de valeur

Le RGPD n’est pas seulement un contrainte. C’est aussi l’opportunité d’améliorer les pratiques et créer davantage de valeur pour les parties prenantes de l’organisation. Bien que mettre en oeuvre et maintenir la conformité puisse sembler pesant, c’est clairement la bonne approche. Rappelez-vous que la raison d’être de l’entreprise est de créer de la valeur pour les parties prenantes. Et le RGPD  bien appliqué est un important contributeur à la création de valeur ajoutée.

Astuce : La cascade d’objectifs de COBIT 5 identifie les besoins des parties prenantes et les transforme en objectifs d’affaires. Ensuite ceux-ci sont déclinés en objectifs informatiques permettant de soutenir les objectifs métiers. Enfin, les objectifs informatiques permettent d’identifier les processus les plus appropriés sur lesquels se concentrer pour améliorer valeur pour les parties prenantes.

3. Inventoriez les pratiques et les référentiels utilisés actuellement

Identifiez les pratiques et les référentiels utilisés actuellement dans le cadre de la gouvernance et de management de l’entreprise, y compris le plan de protection des données existant. La plupart des entreprises ont déjà mis en place un tel  plan (souvent basé sur ITIL, COBIT ou ISO 27001 par exemple). Cependant elles devront le revoir et le mettre à jour pour s’assurer qu’il s’aligne bien avec les exigences du RGPD.

Astuce : Le RGPD est une préoccupation réglementaire qui peut être satisfaite en s’appuyant sur les meilleures pratiques existantes du marché telles que COBIT, ITIL, TOGAF (le référentiel d’architecture d’entreprise de l’Open Group), le cadre de l’Institut National Américain des normes et de la technologie (NIST), les normes ISO (ISO 27001, ISO 29100 par exemple) et bien d’autres. N’hésitez pas à vous appuyer sur ce qui existe déjà au sein de l’Organisation.

4. Considérez COBIT 5 un intégrateur des autres référentiels de bonnes pratiques

Ne vous arrêtez pas à un seul référentiel. Il s’agit là d’une extension de l’astuce précédente. Bien que COBIT soit le seul cadre d’affaires pour la GEIT (Gouvernance de l’Information d’Entreprise et des Technologies associées), COBIT n’est pas le seul référentiel susceptible de vous aider. Cependant, il est bien adapté pour servir de cadre pour aider à déterminer les composants nécessaires d’autres référentiel et fournir un vrai modèle GEIT.

Astuce : Le site web COBIT Online contient des informations supplémentaires à propos de cette approche https://cobitonline.isaca.org/about.

5. Nommez un DPO dès maintenant

Nommez dès maintenant un DPO et d’éventuels autres rôles pertinents. Même dans entreprises qui ne sont pas concernées par le RGPD, certains rôles sont indispensables. Ils doivent être identifiés et assignés. Ces rôles peuvent être remplis sous des noms différents. L’essentiel est que les responsabilités correspondantes soient bien attribuées sans qu’il n’y ait de conflit d’intérêt.

Astuce : La publication COBIT 5: Enabling Processes identifie les diagrammes RACI pour chacun des 37 processus de COBIT 5. Vous pouvez vous en inspirer pour identifier les rôles et responsabilités nécessaires au bon fonctionnement de votre organisation.

6. Menez une évaluation des risques

Une évaluation des risques d’entreprise permet d’aider à la prise de décision. Il est important de savoir quelles données personnelles l’entreprise stocke et traite sur les citoyens de l’UE, ainsi que le risque associé. Les évaluations des risques permettent d’identifier les risques, de déterminer des mesures pour réduire les risques et développer des plans d’actions pour gérer les risques. Avant chaque traitement important et au début de chaque nouveau projet, le RGPD impose qu’une analyse d’impact sur les données personnelles soit menée et que des actions soient prises en fonction des risques identifiés.

Astuce : COBIT 5 for Risk et ISO 31000 constituent d’excellents cadres de référence pour déterminer le processus approprié d’évaluation des risques et le relier aux exigences du RGPD.

7. Lancez un vaste programme de sensibilisation et de formation

Tout le personnel de l’organisation doit être familier avec les exigences du RGPD ainsi qu’avec leurs applications à chaque rôle spécifique de l’Entreprise. La formation est probablement l’une des actions les plus importantes qu’une entreprise peut lancer pour augmenter la probabilité de réussite d’un programme tel que la mise en conformité à la réglementation.

Astuce : Dans les entreprises qui s’appuient sur COBIT pour leur gouvernance et le suivi de leur conformité, le cours COBIT 5 Foundation constitue une excellente première étape. Dans tous les cas, une sensibilisation au RGPD  d’une journée est un bon point de départ pour l’ensemble des employés traitant des données personnelles.

8. Préparez et répétez les plans de réponse aux incidents

Planifiez les plans de réponse aux incidents. Et surtout n’oubliez pas de les tester, de les répéter et de les revoir régulièrement. La plupart des organisations ont déjà mis en place une forme de processus de gestion incidents. Cependant, le RGPD impose certaines exigences qui n’ont pas toujours été prises en compte dans le plan déjà en place. Notamment, les entreprises doivent signaler toute violation de données personnelles à l’Autorité de Contrôle dans les 72 heures suivant sa découverte. La façon dont les équipes d’intervention réagiront influera directement sur les risque d’amendes pour l’entreprise en cas de non respect des exigences.

Astuce : Améliorez les procédures existantes de gestion des incidents en vous appuyant, le cas échéant, sur les processus COBIT, ITIL ou ISO 27001 applicables et adaptez les pour créer un modèle spécifique intégrant les exigences du RGPD.

9. Focalisez-vous sur l’information

Quand on parle de protection des données personnelles, on fait référence à un type particulier d’information.. Rappelez-vous que l’information est un actif, une ressource qui, si elle n’est pas protégée peut devenir un passif. Comprendre les attributs, l’emplacement et le cycle de vie des données permet d’améliorer la capacité de l’entreprise à fournir les protections requises par le RGPD.

Astuce : COBIT 5: Enabling Information peut aider à la compréhension du cycle de vie et des attributs de l’information.

10. Effectuez des évaluations et des audits continus

Le maintien de la conformité nécessite un suivi et une amélioration continue. Il est important pour l’entreprise de ne pas laisser ses efforts s’estomper en passant à la prochaine initiative. Dans ce cas,  des surprises désagréables peuvent survenir. Poursuivez l’élan sans relâcher les efforts.

Astuce : Utilisez le modèle de mise en œuvre de COBIT (COBIT Implementation) ou l’approche d’amélioration continue des services d’ITIL (CSI) et veillez à ce les fonctions d’audit et d’audit interne soient pleinement impliquées dans la démarche.

Les apports de COBIT dans votre mise en conformité avec le RGPD

Les organisations qui se concentrent uniquement sur la conformité sont généralement celles qui n’ont pas mis en oeuvre de cadre de gouvernance. La conformité au RGPD n’est qu’une conformité supplémentaire à respecter. C’est une composante d’une initiative plus vaste basée sur un ratio risque / bénéfice. L’objectif doit être d’équilibrer cette conformité avec les performances de l’entreprise. Le référentiel COBIT 5 est complet dans la couverture de la gouvernance d’entreprise. Cependant il ne répond pas à tous les besoins de conformité d’une entreprise. Toutefois, il peut certainement fournir le cadre de gouvernance et de gestion permettant de déterminer l’approche la plus appropriée visant à créer de la valeur et de la confiance pour les parties prenantes. Dans ce cas, il permet de donner l’assurance que les données personnelles bénéficieront de bien de la confidentialité, de l’intégrité et de la disponibilité sur la base du RGPD (GDPR).

Une remarque? Un commentaire? Une question? N’hésitez pas à lancer la discussion. Nos experts sont à votre disposition pour vous répondre. Alors merci de nous laisser un commentaire sur ce blog.

RGPD/GDPR : Quels changements le 25 mai 2018?

Le règlement européen en matière de protection des données à caractère personnel ou RGPD (GDPR en Anglais) est la nouvelle réglementation européenne qui s’applique désormais à toute organisation, publique ou privée, traitant des données relatives aux personnes physiques avec lesquelles elles interagissent (clients, prospects, employés, partenaires, …) dans l’Espace Economique Européen. Il y avait déjà, en France, une loi qui protégeait les citoyens contre les traitements abusifs de leurs données personnelles. Il s’agit de la Loi Informatique et Libertés de 1978. Au niveau Européen, il s’agissait de la Directive 95/46/CE qui était en vigueur depuis 1995. Alors, avec le RGPD (GDPR), qu’est-ce qui change vraiment le 25 Mai 2018? Et pourquoi à un peu plus d’un mois de l’échéance, tous les acteurs économiques sont-ils aussi fébriles?

RGPD/GDPR - Les changement au 25 Mai 2018
Crédits : Vasily Merkushev – Fotolia.com

La nouveauté tient essentiellement au fait que le régulateur a prévu des montants d’amendes administratives énormes en cas de non-conformité avec le RGPD (GDPR). Ces amendes doivent être efficaces, proportionnées et dissuasives ainsi que le mentionne la loi. Elles peuvent aller jusqu’à 4% du chiffre d’affaires annuel mondial pour les groupes internationaux. Leur montant peut atteindre jusqu’à 20 millions d’euros pour les PME. Elles seront applicables dès le 25 Mai 2018 en cas de non respect de la loi. J’entends déjà les commentaires « Il ne faut pas paniquer, il y aura un délai de grâce« . Le problème c’est que c’est le délai de grâce qui se termine le 25 Mai 2018. En fait la réglementation est déjà applicable depuis Avril 2016. La Commission Européenne a laissé deux années de grâce avant l’application des sanctions. Son objectif était de permettre aux entreprises et organisations publiques pour se mettre en règle.

Afin de vous guider de façon efficace, nous allons voir pas à pas les obligations principales auxquelles vous devez vous soumettre ainsi que les actions à entreprendre pour mettre votre organisation en conformité avec le RGPD (GDPR). Ce post constitue une introduction à une série d’articles, à venir dans les prochaines semaines, qui détailleront chacune de ces actions.

Une chose est claire. Si vous n’avez pas encore commencé la mise en conformité, vous n’avez aucune chance d’être prêts pour le 25 Mai 2018. Alors il vous incombe de prioriser les actions et d’être en mesure de démontrer que vous avez démarré. Vous pourrez toujours espérer la mansuétude de l’autorité de contrôle.

Trois pièges à éviter

S’agit-il vraiment d’une problématique informatique?

Tout d’abord, essayons d’évacuer un mythe. Le mise en conformité avec le RGPD (GDPR) n’a rien à voir avec une obligation au niveau informatique. Les affaires sont un peu difficiles pour les sociétés spécialisées en informatique qui prolifèrent. Depuis que l’information sur le montant des amendes circule, beaucoup d’entre elles, voyant là un créneau pour se développer, proposent des logiciels vous permettant de réaliser cette mise en conformité. Il s’agit là d’une énorme arnaque. Le problème est d’abord un problème de gouvernance de votre organisation et non un problème informatique. Bien sûr, cela pourra ensuite déboucher sur une mise en conformité des systèmes informatiques que vous utilisez. En aucun cas un nouveau logiciel ne vous permettra d’être en conformité avec le RGPD (GDPR). Donc exit les logiciels estampillés ‘conforme au RGPD’ (GDPR compliant).

Comme d’habitude en pareil cas, le marché foisonne de charlatans.Ils ne connaissent souvent pas le premier mot de la loi et proposent des outils tout faits pour résoudre tous les problèmes. Ils résolvent surtout le problèmes que vous n’avez pas, ignorant ceux que vous avez vraiment. En effet la plupart de ces charlatans sont seulement des informaticiens et en aucun cas des juristes. Leur caractéristique commune est essentiellement qu’ils sont incapables de comprendre la loi. Soyez donc prudents avant de vous lancer dans un chantier périlleux tout autant qu’onéreux!

Votre organisation est-elle concernée par le RGPD (GDPR)?

Le deuxième mythe qu’il nous faut lever c’est celui qui consiste à penser que toutes les organisations sont concernées. C’est archi-faux. Seules les organisations qui manipulent des données personnelles sont concernées. Les données d’entreprise ne sont pas concernées par la réglementation. Il y a aussi une notion de taille de l’entreprise et de cible qui entre en jeu.

Les sanctions prévues seront-elles vraiment appliquées?

amende-GDPR
Crédit : Gilles Paire – Fotolia.com

Le troisième piège consiste à se dire que, compte tenu de l’ampleur de la tâche qui attend les autorités de contrôle nationales (en France c’est la CNIL) et de leur manque de moyens, rien ne se passera vraiment. C’est négliger un élément important. Il s’agit d’une loi européenne. Donc, en cas de non application dans un pays, des sanctions tomberont directement sur le pays. Les autorités de contrôle, indépendantes des gouvernements nationaux, vont simplement devoir prioriser leurs actions. Elles vont aussi devoir prioriser les organisation qui représentent le plus de risques pour les citoyens.

Il peut s’agir d’entreprises d’ores et déjà ciblées et qui vont devoir se mettre en conformité (Mise en demeure de DIRECT ENERGIE). C’est aussi le cas d’Entreprises pour lesquelles les organismes de contrôle reçoivent des plaintes de personnes physiques. Il peut s’agir d’organisations dont la protection des données personnelles a été testée par une publication et pour laquelle les non-conformités ont été rendues publiques (condamnation récente de DARTY). Enfin, il peut s’agir d’organismes publics qui n’auront pas désigné un responsable de la protection des renseignements personnels (DPO).  Ce serait le cas, par exemple, d’une municipalité de quelques milliers d’habitants n’ayant pas nommé de DPO.

Le RGPD (GDPR) s’applique-t-il à mon Entreprise ?

Notion de donnée personnelle et de traitement

Le texte de la loi

La loi fournit quelques définitions aux articles 2 et 4 permettant de mieux comprendre le périmètre du RGPD (GDPR). Vous pouvez consulter le texte intégral de la réglementation en ligne sur le site de la CNIL.


Article 4. Définitions

  1. «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»). Est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
  2. «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Que faut-il comprendre?

D’après l’article 4, est considérée comme donnée personnelle toute donnée relative à une personne physique identifiée ou identifiable. Le traitement, pour sa part, démarre au moment de la collecte et se termine après la destruction des informations. Le traitement peut donc consister en une action réalisée par le responsable du traitement. Par exemple il peut consister en la collecte, l’enregistrement, l’organisation, l’extraction de données personnelles. Il peut être « passif » comme la mise à disposition, conservation ou diffusion (via un site web ou un réseau social). Le périmètre apparaît donc extrêmement vaste.

Champ d’application matériel du RGPD (GDPR)

Le texte de la loi

L’article 2 précise de façon plus limitée le champ d’application matériel de la loi.


Article 2. Champ d’application matériel

  1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
  2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :
      • a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union;
      • b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne;
      • c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique;
      • d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

Comment l’interpréter?

La loi est donc extrêmement claire quant à son champ d’application. Elle s’applique à tout traitement par une organisation publique ou privée de données personnelles par un moyen informatisé ou non. Seules les données personnelles sont concernées. Les données d’entreprise (sur des processus, des procédures, des produits, etc.) ne sont pas concernées par le RGPD (GDPR). Les personnes physiques qui gèrent leusr contacts téléphoniques sur leur téléphone portable sont également exclues de la réglementation. En d’autres termes, si vous êtes une collectivité, une entreprise, une association à but non lucratif, et si vous recueillez et gérez des noms, prénoms, adresses email, photos, des numéros de sécurité sociale ou des adresses IP, alors le règlement s’applique et vous êtes dans l’obligation de mettre votre traitement en conformité.

Quelles sont les obligations principales du RGPD (GDPR)?

Pour vous mettre en conformité avant le 25 Mai 2018, nous pouvons déjà vous donner 10 recommandations clés à mettre en oeuvre immédiatement. Ce ne sera bien sûr pas suffisant pour être conforme mais cela démontrera au moins que vous avez initié la démarche.

RGPD/GDPR : Les obligations
Crédits : Vasily Merkushev – Fotolia.com

1. Identifiez les données à caractère personnel que vous traitez

Il peut s’agir de données relatives à vos clients, à des prospects, à des membres (dans le cas d’une association), à vos employés , etc. Et identifiez les traitements que vous mettez en oeuvre pour chacune d’entre elles. Les traitements peuvent être manuels (par exemple basées sur des formulaires papier) ou informatisés. Documentez tous ces éléments avec les types de traitements réalisés pour chaque type de données.

2. Etablissez un registre des traitements

La loi exige que vous teniez un registre détaillé de tous les traitements réalisées sur les données personnelles indépendamment du fait que le traitement soit manuel ou informatisé, réalisé en interne ou sous-traité. Ce registre des traitements, obligatoire, vous permettra de démontrer que tous les traitements réalisés sont conformes au RGPD(GDPR).

3. Obtenez le consentement explicite des personnes concernées avant tout traitement

Tout traitement de données personnelles doit être précédé de l’obtention du consentement explicite des personnes concernées. N’oubliez pas que la collecte constitue un traitement. Cela signifie qu’avant de débuter la collecte d’informations personnelles, la personne concernée doit avoir exprimé clairement son consentement. Ceci implique qu’il n’est plus possible d’avoir une simple case à cocher, déjà pré-cochée, à la fin d’un formulaire. Il faut d’abord qu’un écran préalable stipule les raisons explicites du traitement et leur durée. Le consentement doit impérativement être « actif » avant de pouvoir commencer la saisie des informations personnelles. A défaut de consentement, le formulaire de collecte ne doit même pas être présenté à la personne concernée. Tous les consentements doivent être conservés et présentés à l’autorité de contrôle sur simple demande.

4. Conservez une base légale à fournir sur demande à l’autorité de contrôle

On parle beaucoup de la nécessité d’obtenir le consentement des personnes. La réalité juridique c’est que le consentement n’est qu’une des 6 bases légales prévues au règlement (Article 6).

Le consentement n’est donc pas systématiquement nécessaire pour procéder au traitement de données à caractère personnel. Il existe des exceptions clairement définies au RGPD (GDPR) telles que lorsque la loi l’impose comme dans le cas des informations liées au droit du travail, de la médecine du travail ou du code des impôts par exemple. Mais en tout état de cause vous devez être en mesure de fournir tous les éléments au travers d’une base légale. Celle-ci doit être systématiquement tracée et vérifiée pour chaque traitement.

5. Evitez de traiter des données sensibles

Une autre obligation importante tient à l’interdiction de traitement des données sensibles, sauf exception explicitement prévue par la loi (Article 9). La première étape consiste déjà à déterminer si vous traitez des données sensibles. Au sens du RGPD (GDPR), on entend par données sensibles, des données qui peuvent avoir un impact sur les doits et libertés fondamentales des individus. Ainsi par exemple, l’origine ethnique ou raciale est une donnée sensible alors que les données financières ne le sont pas. Donc, en cas de doute, évitez de traiter des données sensibles sauf nécessité absolue et si vous êtes dans un des cas explicitement prévu par le RGPD (GDPR).

6. Pour chaque nouveau traitement important ou chaque nouveau projet réalisez une DPIA

L’analyse d’impact (DPIA) est un outil important pour la responsabilisation des organisations : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD (GDPR). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

Ainsi, généralement, les traitements qui remplissent au moins deux des critères suivants doivent faire l’objet d‘une analyse d’impact :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Exemple : une entreprise met en place un contrôle de l’activité de ses salariés, ce traitement remplit le critère de la surveillance systématique et celui des données concernant des personnes vulnérables donc la réalisation d’un DPIA sera nécessaire.

7. Organisez vos processus internes en intégrant le RGPD dans chacun d’entre eux

Réorganiser vos processus interne en intégrant les obligations du RGPD implique notamment :

  • de prendre en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données, s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données). Pour cela, appuyez-vous sur les conseils du délégué à la protection des données (DPO) ;
  • de sensibiliser et d’organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs ;
  • de traiter les réclamations et les demandes des personnes concernées quand à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen) ;
  • d’anticiper les violations de données en prévoyant la notification à l’autorité de protection des données dans les 72 heures et, dans certains cas, aux personnes concernées dans les meilleurs délais.

8. Revoyez tous les contrats avec vos sous-traitants et intégrez-y des clauses conformes au RGPD

Le Règlement prévoit que le responsable du traitement est responsable (« accountable ») des traitements. Les traitements qui sont confiés à des sous-traitants sont, bien entendu, inclus. Le RGPD prévoit donc un certain nombre de stipulations impératives devant figurer dans tout contrat de sous-traitance.

RGPD/GDPR : Les contrats de sous-traitance
Crédits : © Viorel Sima – Fotolia.com

Entre autres, parmi les clauses obligatoires :

  • le rappel du rôle du sous-traitant dans la mesure où il « ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement ». Le contrat de sous-traitance doit donc prévoir les modalités pratiques de réception de ces instructions de la part du responsable du traitement. Le sous-traitant devra, pour sa part, conserver les preuves des instructions du responsable du traitement ;
  • le respect de la confidentialité ;
  • le respect des mesures de sécurité imposées par l’article 32 du Règlement ;
  • les modalités de traitement des demandes d’exercices des droits des personnes concernées par le traitement de leurs données personnelles (Chapitre III du Règlement). Il s’agit notamment du droit d’accès, de rectification ou de limitation du traitement. Le Règlement ne met à la charge du sous-traitant qu’une obligation « d’aide » du responsable du traitement ;
  • le sort des données personnelles, en fin de contrat, au choix du responsable du traitement (restitution ou effacement) ;
  • la mise à la disposition du responsable du traitement de toutes les informations nécessaires lui permettant de démontrer le respect du Règlement avec la possibilité de réaliser d’éventuels audits ou inspections.

9. Formez la totalité de votre personnel en commençant par la Haute Direction jusqu’aux opérationnels

La mise en conformité au RGPD concerne l’ensemble des acteurs de l’Entreprise. La responsabilité échoit au Comité de Direction qui est responsable de la mise en oeuvre organisationnelle. Cela se traduira par la mise en oeuvre d’un système de management complet ainsi que son suivi régulier. Les exigences du RGPD sont transversales. Elles concernent absolument tous les métiers de l’Entreprise ainsi que tous les niveaux de management. Les opérationnels sont également concernés car ils auront la charge de la réalisation opérations quotidiennes. C’est donc l’ensemble du personnel qui doit être formé sur le contenu et les exigences du RGPD (GDPR).

Quelles directions sont concernées?

Est concernée au premier chef la Direction des Ressources Humaines qui gère les renseignements personnels relatifs aux salariés. La Direction des Achats est fortement impliquée également pour la mise en conformité des contrats de sous-traitance. La Direction juridique et de la Conformité sera la responsable idéale pour la mise en oeuvre et le suivi de la conformité. La DSI est également concernée, notamment dans le cadre de l’implémentation de la protection dès la conception et de la protection par défaut. Il s’agit là d’une exigence pour tous les systèmes informatiques utilisés pour le traitement de données personnelles. La Direction Marketing sera sans aucun doute également impactée pour déterminer les données personnelles à collecter. En cela, elle devra respecter le principe de minimisation des données. Bien sûr, toutes les équipes impliquées dans les projets et les opérations. Elles seront en charge d’intégrer les principes clés du RGPD dans leurs activités.

Quelles sont les formations disponibles?

Il est donc indispensable de former l’ensemble de ces acteurs sur les contenu de la réglementation. Il convient aussi de les former sur leurs propres responsabilités dans le respect du RGPD au sein de l’entreprise. A ce jour, plusieurs formations certifiantes existent. 2AB & Associates est d’ores et déjà en mesure de vous proposer des sessions de formation accréditées par EXIN et répondant aux besoins de l’ensemble de ces personnels :

  • Session de présentation exécutive (2  heures à 1/ journée) destinée aux membres du Comité de Direction
  • Sensibilisation au RGPD (1 journée) pour les managers en ayant un rôle dans la mise en conformité de l’Organisation
  • RGPD Foundation (2 jours) : formation certifiante destinée aux membres des équipes projets
  • RGPD Practitioner (3 jours) : formation pratique certifiante, basée sur des études de cas, destinée aux membres de l’équipe projet en charge de la mise en conformité et aux praticiens qui ont un rôle dans le suivi de la conformité au RGPD
  • Certification DPO ou Data Protection Officer (8 jours) : formation certifiante destinée spécifiquement aux DPO. Elle est composée des modules RGPD Foundation, RGPD Practitioner et ISO 27001 Foundation
  • Prochainement, nous vous proposerons une formation en e-Learning de sensibilisation pour l’ensemble des autres employés.

Toutes ce formations sont proposées en Français et en Anglais, selon le choix des Entreprises. Elles peuvent se dérouler dans le cadre de sessions internes à l’Organisation ou dans le cadre de nos sessions publiques.

10. Enfin, en cas d’obligation, nommez un DPO et communiquez ses coordonnées à l’autorité de contrôle

L’article 37 du règlement stipule que les organismes chargés de traiter des données désignent « en tout état de cause » un délégué à la protection des données (DPO) lorsque l’une des conditions suivantes est réalisée :

  • Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles ;
  • Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées
  • Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel relatives à des condamnations pénales.

En résumé, les sociétés concernées sont donc celles qui sont amenées à traiter des données personnelles. Il n’y a pas de seuil plancher de taille. Une TPE remplissant les critères énumérés ci-dessus sera donc contrainte de nommer un DPO (data protection officer). En cas de non respect de cette exigence, les sanctions entrent en vigueur à partir du 25 mai 2018.

Vous avez des questions ou des remarques? N’hésitez pas à nous laisser un commentaire et nos experts vous répondront.

Catégories

Archives

Calendrier

avril 2018
L M M J V S D
« Déc    
 1
2345678
9101112131415
16171819202122
23242526272829
30  
%d blogueurs aiment cette page :