Le règlement européen sur les données personnelles ayant été publié au journal officiel européen le 4 mai 2016, c’est donc à partir du 25 mai 2018 que les responsables de traitement devront respecter les nouvelles règles… et en craindre les nouvelles sanctions, qui pourront aller jusqu’à 4 % du chiffre d’affaire mondial pour les entreprises et jusqu’à vingt millions d’euros pour les personnes publiques.

Rappelons que, jusqu’à cette date, les règles actuelles de notre loi Informatique et Libertés continuent à s’appliquer, règles auxquelles pourraient s’ajouter quelques dispositions issues du projet de loi pour une République numérique, votée par le Sénat le 3 mai et qui devrait être prochainement examinée en Commission Mixte Paritaire.

Si les dispositions du règlement modernisent les principes de protection des données personnelles et permettent de prendre en compte plus de vingt ans d’évolutions technologiques, l’angélisme n’est pas de mise. La mise en conformité avec le nouveau cadre nécessite de lourds efforts et des investissements indispensables pour adapter les outils, les procédures… et surtout les habitudes.

Pour les organismes dépourvus de Correspondant Informatique et Libertés, la priorité est naturellement d’en désigner un sans tarder, qui sera confirmé courant 2018 en tant que Délégué à la protection des données selon des modalités restant à préciser, comme l’avait indiqué Edouard Geffray, Secrétaire général de la CNIL, lors de la grande conférence organisée fin janvier par l’AFCDP : « Tous les responsables de traitement ont intérêt à désigner un CIL dès aujourd’hui, et ce CIL a vocation à être DPO demain ». Recourir à un CIL est aujourd’hui le meilleur moyen pour une entreprise ou une administration de se préparer au règlement européen sur la protection des données personnelles à venir. Le CIL est en effet le « chef d’orchestre » interne de la conformité à la loi informatique et libertés : entreprises et administrations ont donc intérêt à s’en doter dès maintenant pour monter en puissance en vue du règlement européen, et bénéficier ainsi de l’accompagnement de la CNIL et de l’AFCDP.

Les deux ans qui viennent pourront être mis à profit par les CIL en poste pour compléter leur formation : « Si aucun diplôme spécifique n’est exigé, le règlement renforce le besoin de compléter ses connaissances. Le temps est passé où il était possible d’être désigné sans avoir suivi un minimum de formation. Le débat se déplace maintenant sur la question du niveau de cette formation. Avec un risque de sanction réévalué, un responsable de traitement ayant désigné un délégué à la protection des données a le droit d’être exigeant quant aux capacités de ce dernier de réduire réellement son exposition aux risques » indique Patrick Blum, CIL de l’Essec et Vice-président de l’AFCDP en charge de la Commission Métier.

Pour Alexandre Eloy, CIL de GMF, la priorité est avant tout axée sur la nécessaire maîtrise des grands principes de... la Loi Informatique et Libertés, « dont l’approche par de nombreux organismes est encore perfectible ». Cette notion de retard à combler se retrouve dans les conseils formulés par Michel Bazet, CIL d’AG2R La Mondiale, qui recommande de prendre les choses sous l’angle de l’analyse des risques : « Il faut procéder à une revue des traitements et processus sous l’angle des enjeux et menaces pour la vie privée, ce qui donnera le fil conducteur des actions de préparation », et ceux de Philippe Salaün, CIL de CNP Assurances, « La difficulté réside dans l’évaluation du risque brut qui est par essence subjective. Insérer le Privacy Assessment dans les processus est l’une des priorités ». Leila Hader, CIL de la Mutuelle UMC, reprend à son compte l’identification des traitements présentant un risque élevé pour la vie privée, sociale et professionnelle des personnes concernées, elle propose également de commencer à revoir la définition des durées de conservation, « qui devront être ajoutées dans les mentions d’information afin de répondre à l’obligation de transparence ».

Cultiver les synergies, tel est le conseil de Laurent Cellier, CIL de Deveryware, « La personne en charge du pilotage de la conformité en matière de protection des données personnelles devra collaborer encore plus étroitement qu’aujourd’hui avec les métiers connexes touchant à la sécurité du système d’information, à la qualité, à la gestion des risques, à l’archivage et à la gestion des actifs immatériels ».

Pour Bruno Rasle, Délégué général de l’AFCDP, les CIL qui veulent préparer au mieux leur organisme au règlement doivent veiller à ce que les prochains budgets intègrent des lignes pour ce faire : « Pour éviter d’avoir à communiquer certaines violations de données aux personnes concernées, il peut être proposé de rendre techniquement incompréhensibles les informations – le chiffrement étant l’une des approches qui le permet. Les solutions opérationnelles à la mi-2018 auront été mises en œuvre début 2018, testées en 2017 sur le budget arrêté à l’automne 2016… c’est-à-dire demain ».

L’une des (multiples) évolutions majeures apportées par le règlement concerne le consentement. Pour les traitements fondés sur cette base, le nouveau cadre sonne le glas de leur version « passive » (le silence de la personne concernée, informée, vaut accord). Marie Noëlle Séhabiague, CIL de la Caisse nationale des allocations familiales, en fait l’un de ses chantiers principaux : « Ce sujet à traiter au plus tôt, pour éviter d’avoir à requalifier éventuellement des consentements. Autant prendre les bonnes habitudes dès aujourd’hui. Dans notre cas, nous devrons gérer le consentement pour chaque personne qui compose le foyer - et pas uniquement pour l’allocataire responsable du dossier - et distinguer les consentements liés à une demande de droit et ceux correspondants à des finalités non couvertes par la législation en matière sociale ».

Pour sa part, Pascale Gelly, Vice-présidente de l’AFCDP en charge de l’international et DPO d’ADP pour la France, conseille de mettre parmi ses priorités l’injection, dans les contrats en cours de négociation, des clauses tenant compte des nouveautés introduites par le règlement : « Ces contrats seront en vigueur en 2018. Il est donc primordial d’y intégrer une clause qui précise les obligations du sous-traitant concernant les notifications des éventuelles violations de données ». Ces contrats doivent également tenir compte de la nouvelle répartition des responsabilités entre clients traitements et sous-traitants, « en cas de non-conformité, la CNIL va pouvoir « répartir » ses sanctions financières entre eux, alors qu’aujourd’hui la responsabilité, au sens de la loi Informatique et Libertés, est focalisée sur le seul responsable de traitement, même si la faute est imputable à son prestataire ».

Cintya Marneau, responsable de la conformité de la mutuelle Carac, met en exergue le principe nouveau d’Accountability (traduit par le terme « responsabilité » dans la version en français du règlement européen) : « Désormais les organismes devront être capables de rendre compte à tout instant, de façon formalisée, aux autorité, du niveau de conformité de leurs traitements et de la maîtrise des risques qu’ils auront préalablement identifiés ».

Pour Paul-Olivier Gibert, Président de l’AFCDP, le premier conseil est de positiver, en cherchant l’opportunité qui se cache derrière chaque nouvelle obligation afin de créer de la valeur : « Dans le cadre de la mise en application du droit à la portabilité, il faudra se préparer à transmettre les données d’un client qui nous quitte pour l’un de nos compétiteurs… mais aussi à recevoir les données d’un nouveau client qui nous rejoint. On peut avoir la même philosophie concernant le droit à l’oubli et l’obligation de notifier les violations de données, qui nous donnent l’opportunité de mettre à jour les bases de données et de purger ce qui doit l’être ». Cette approche est partagée par Jean-Christophe Frachet, CIL du Conseil départemental de l’Essonne, qui recommande en priorité de « convaincre les décideurs de l’opportunité, en termes d’image de marque de l’organisation, de mettre en avant et de valoriser la démarche de protection des données à caractère personnel ».

Les récentes décennies ont vu des changements phénoménaux dans nos usages du numérique, ce qui explique la richesse, mais aussi la complexité, du nouveau règlement européen. Compte-tenu de l’ampleur des travaux nécessaires pour s’y préparer, deux ans ne seront pas de trop.

Cette préparation, si elle est conséquente, ne sera pas nécessairement solitaire. En plus des documents officiels appelés à approfondir et clarifier certains détails du texte, les CIL pourront s’appuyer sur leur travail mutuel réalisé au sein de l’AFCDP. Outre le groupe « Se préparer au règlement européen », qui s’était donné comme priorité la façon dont les nouvelles contraintes peuvent être présentées auprès des directions générales, un groupe « Notification des violations de données » se prépare à formaliser une F.A.Q. très opérationnelle et une procédure type de notification à la CNIL et d’information des personnes concernées en cas d’incident de sécurité, tandis que le groupe « Métier » étudie les évolutions qui relie l’actuel CIL au futur Délégué à la protection des données.

Ce travail bénéficiera en outre du réseau CEDPO (The Confederation of European Data Protection Organisations, co-fondée par l’AFCDP) qui permet aux CIL français de profiter des expériences et des bonnes pratiques de leurs confrères allemands, espagnols, néerlandais, polonais, irlandais et autrichiens. Enfin, compte tenu du changement d’échelle et de logique qui s’annonce en matière de protection des données à caractère personnel, il est crucial que les organismes qui n’ont pas déjà désigné un CIL auprès de la CNIL le fassent, pour être prêt en 2018 à faire face aux nouvelles exigences.

Pour tout complément : Paul-Olivier Gibert – president@afcdp.net

Contact Presse : Bruno Rasle – delegue.general@afcdp.net – Tel. Mob. +33(0)6 1234 0884

A propos de l’AFCDP - www.afcdp.net