A votre avis, qui sera concerné par le Règlement général sur la protection des données (RGPD) au moment de son entrée en vigueur le 25 mai 2018 ? En cas de manquement à cette réglementation, quelles seront les répercussions ?
Ce règlement européen, très contraignant, concerne toutes les entreprises et organisations qui gèrent, stockent et déplacent les données dans le Cloud. Nul ne pourra s’en affranchir. Il s’appliquera dans toute l’UE sans qu’il soit nécessaire que ses pays le transcrivent dans leur droit national ; autrement dit, immédiatement. A vrai dire, ce nouveau règlement a déclenché le branle-bas dans les directions générales comme dans les directions informatiques des entreprises. Pour celles qui ne s’y conformeront pas, rappelons que le montant des amendes sera progressif mais pourra atteindre 4% du chiffre d’affaires mondial des entreprises qui seraient concernées. Et pour celles qui ne sauraient par où commencer, la Commission nationale Informatique et Libertés (CNIL) vient de publier un guide pour les aider à se mettre en conformité, véritable vade-mecum pour chef d’entreprise en plein désarroi face au RGPD.
Quels sont donc les conseils de la CNIL ?
De façon classique et pleine de bon sens, le guide de la CNIL recommande de désigner une personne qui pilotera « la gouvernance des données personnelles » de l’organisation, sorte de délégué à la protection des données qui exercera une mission d’information, de conseil et de contrôle en interne. Il préconise même qu’une personne au sein de l’organisation, la même ou une autre, soit son Correspondant informatique et libertés (CIL). Il faut ensuite recenser de façon précise les données personnelles que l’entreprise collecte et la façon dont elle les traite, en se demandant quels sont les risques que ces processus de traitement font peser sur les droits et les libertés des personnes concernées. Ce qui permettra d’établir des priorités sur les actions à mener. Pour assurer un haut niveau de protection des données personnelles, l’entreprise devra mettre en place des procédures internes prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie des données (failles de sécurité possibles, gestion des demandes de rectification ou d’accès, modification par l’entreprise des données collectées, voire même un changement de prestataire dans le stockage de ces données). Enfin, l’entreprise devra constituer la documentation nécessaire prouvant sa conformité à RGPD. Inutile de préciser que les actions et documents produits à chaque étape devront être régulièrement actualisés.
Selon la dernière étude de Veritas, de nombreuses entreprises craignent de ne pas réussir à se mettre en conformité avant la date limite et, donc, de se retrouver hors la loi. Quelles sont ces fameuses contraintes qui semblent à certains insurmontables ?
La vie des données pose trois questions primordiales qui sous-tendent finalement la mise en œuvre de ce règlement. Sont-elles protégées dans la durée ? Qui risque d’y avoir accès ? Qui pourra être concerné par leur collecte ? Le fait que les données soient chiffrées ne veut pas dire qu’elles soient totalement protégées. En outre, RGPD stipule que l’entreprise devra désormais supprimer les données lorsqu’elles cesseront d’être utilisées dans le but initial pour lequel elles ont été collectées. Et lorsqu’une personne ne souhaitera plus que ses données personnelles soient collectées, l’entreprise devra automatiquement non seulement cesser de le faire mais aussi les supprimer intégralement. Difficulté supplémentaire, qui concerne de prime abord toutes les entreprises qui traitent avec des adolescents, le RGPD stipule que les données de personnes âgées de moins de 16 ans ne pourront plus être collectées, alors que la limite est fixée à 13 ans aujourd’hui… Ce qui risque fort d’obliger les entreprises à supprimer dans l’urgence une grande quantité de données en leur possession…
Or rien n’est plus difficile que d’effacer totalement et complètement des données. C’est là un des enjeux du RGPD. A fortiori lorsque ces données sont stockées dans des serveurs extérieurs comme c’est le cas pour les entreprises qui ont recours à des fournisseurs de services dans le Cloud. Au-delà de ses propres processus internes, il est donc urgent pour une entreprise de se demander si les solutions de gestion de données de ses fournisseurs sont également conformes au RGPD. Eux-aussi doivent être à jour vis-à-vis de la nouvelle réglementation pour parfaitement accompagner leurs clients et leur offrir des garanties en la matière.
Autrement dit, c’est un vrai casse-tête…
Clairement, le RGPD impose de travailler vite, d’analyser un grand nombre de processus complexes de traitement des données personnelles afin de mettre en place tout aussi rapidement des solutions permettant de répondre au nouveau règlement. Mais – et c’est là un aspect un peu laissé de côté mais essentiel que je voulais souligner – sa mise en œuvre impose aussi de regarder au-delà des murs de l’entreprise : de voir avec quels autres acteurs une organisation est interconnectée en matière d’échange des données. C’est là la beauté de notre monde connecté. Il nous oblige à penser aux conséquences de notre activité en dehors de notre strict périmètre habituel.
Propos recueillis par Ségolène Kahn
Commentez