Nous y sommes, le Règlement Européen pour la Protection des Données est entré en vigueur le 25 mai 2018.
Les principaux objectifs sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Cela entraîne l’augmentation du pouvoir des autorités de régulation.
Deux niveaux de sanctions sont prévus :
- 2% du chiffre d’affaires mondial d’une entreprise, ou 10 millions d’euros d’amende, pour notamment défaut de tenue d’un registre des traitements, défaut d’étude d’impact sur la vie privée en cas de données sensibles (orientations sexuelles, politiques, informations médicales…), défaut d’annonce par suite d’une faille décelée, et problèmes de sécurité.
- 4% du chiffre d’affaires mondial d’une entreprise, ou 20 millions d’euros d’amende, pour défaut de consentement, traitements de données illégaux, non-respect des droits des personnes, manque de prudence lors des transferts transfrontaliers de données, ou encore refus d’obtempérer face aux injonctions de la CNIL.
Le RGPD reprend une grande partie de la loi du 6 janvier 1978, modifié le 24 octobre 1995 (première directive européenne) et la loi du 6 août 2004 (transposition en France) plus connu sous le nom de loi informatique et libertés.
Préserver les libertés individuelles et s’opposer à la mise en place de fichiers limitant la liberté des personnes humaines, il fallait mettre un frein au projet SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus). Un projet d’interconnexion des fichiers nominatifs de l’administration française, notamment par le biais du numéro INSEE.
Les droits essentiels reconnus de cette loi et leur exercice concret sont repris dans le RGPD. (Droit d’information, d’opposition, d’accès, de rectification). Le CIL (correspondant informatique et liberté) est quant à lui remplacé par le DPO (Data Protection Officer) qui se voit attribuer comme mission principale de garantir la conformité.
Le RGPD donne une vision moderne et efficace de la protection des données. Les grandes évolutions par rapport à la loi de 1978 sont :
- La fin des déclarations des fichiers des entreprises et des administrations à la CNIL.
- La fin des déclarations des fichiers remplacée par l’obligation de documenter sa conformité ou principe de responsabilité. Par la mise en œuvre de procédure, de règle, de cadre pour que les données collectées soient traitées de manière respectueuses vis-à-vis du cadre réglementaire applicable.
- La mise en place d’un régime fort de sanctions administratives (voir ci-dessus).
- La prise en compte de la dimension internationale (circulation des données au niveau mondial et rôle des flux de données des sous-traitants.
- De nouveaux concepts tel le droit à la portabilité et la limitation des données.
Le RGPD comporte des limites, il ne protège pas les personnes contre elles-mêmes (l’exposition de soi sur internet), de nombreuses personnes livrent des données intimes. C’est un enjeu de sensibilisation des personnes (importance de l’éducation au numérique). Enfin le choix des outils «Privacy by design», des outils pensés dès la conception pour intégrer le enjeux de protection de la vie privée. La CNIL et les autres autorités européenne de protection de données vont pouvoir certifier, vont pouvoir octroyer des labels à des outils, des produits ou des procédures qui respecteront ces règles de protection des données.
Pour se conformer aux nouvelles normes du RGPD et pour éviter des sanctions lourdes, les entreprises concernées devront faire un « audit de protection des données ». Elles feront ainsi le point sur les décalages entre leurs processus de traitement des données et la nouvelle réglementation, et c’est le DPO interne ou externe à l’entreprise qui aura la charge d’effectuer cet audit.
Un audit RGPD est une évaluation honnête des performances des processus afin de savoir si le management d’un projet est toujours en phase avec les objectifs prédéfinis. Il peut également servir à évaluer les performances des équipes et des personnes en charge (capacité à bien exécuter leurs missions à court, moyen et long terme). Toutes les organisations seront concernées par l’audit. Il existe deux types d’audit interne et externe.
Les caractéristiques de l’audit sont d’identifier si la stratégie et les objectifs souhaités sont respectés, respecter aussi l’identification et la compréhension des processus clairement définis tout au long du cycle de vie d’un traitement ou des procédures. Il est nécessaire d’identifier les tâches déléguées et les personnes qui sont en charge afin s’assurer du respect du timing de l’audit.
Les principaux éléments analysés lors de l’audit sont :
- Respect des politiques et des procédures ;
- Gestion des traitements des données à caractères personnelles (DCP) ;
- Gestion et respect des processus (demande des droits, validation des fiches de traitement);
- Gestion de la mise en conformité ;
- Gestion des habilitations ;
- Respect des recommandations du DPO ;
- Autres gestions (suivi de sensibilisation…).
Un système de notation permet de classer chaque constituant du projet audité :
- Déficient – incapacité importante à respecter les objectifs DCP ;
- Faible – difficulté à se conformer entièrement aux objectifs DCP ;
- Satisfaisant – respect des objectifs DCP, mais la performance peut être améliorée ;
- Bon – compatible avec les objectifs DCP, le processus est engagé et en lien avec les consignes
- Très bon – le processus définit est performant et fonctionne selon les objectifs DCP.
L’audit s’achèvera par la formalisation de recommandations qui seront présentées à la direction sous la forme d’un plan d’action adapté avec des priorités définies.
Thierry Legrand – Consultant Sénior Ingénieur
