Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

2ème Baromètre du RGPD le commentaire de Patrick Blum, Administrateur de l’AFCDP

octobre 2017 par Patrick Blum Administrateur de l’AFCDP, en charge de la Commission «  métier  » CIL et RSSI de l’ESSEC Business School

Ce deuxième Baromètre montre, comme d’autres enquêtes, que la mobilisation progresse et s’organise dans les entreprises à l’approche du 25 mai 2018. Il reste toutefois surprenant qu’autant d’organisations ne se sentent pas prêtes, sans doute en raison d’une méconnaissance des enjeux, sinon d’un certain scepticisme vis-à-vis des sanctions.

On entend encore de nombreux responsables estimer, d’une part que «  l’on a encore le temps pour s’occuper du dossier d’ici mai 2018  » et d’autre part, que «  le montant des amendes n’est qu’un épouvantail  ». Il s’agit là de deux erreurs manifestes.

Le texte du Règlement européen sur la Protection des Données (RGPD) dont l’AFCDP a publié une version annotée et indexée, disponible librement sur son site, indique clairement (article 99) qu’il est entré «  en vigueur  » le 25 mai 2016 (20 jours après sa publication au Journal officiel) et qu’il entrera «  en application  » le 25 mai 2018. De toute évidence, le délai de deux ans avant l’entrée en application a été prévu par le Législateur pour permettre aux entreprises de se mettre en conformité avant mai 2018, et non de commencer à réfléchir à cette date. À n’en pas douter, les autorités de contrôle, dont la CNIL, commenceront à vérifier le niveau de conformité réelle dès le 25 mai prochain. Elle y sera forcée en cas de plaintes déposées auprès d’elle par des personnes concernées. N’oublions pas non plus que la CNIL étant libérée du traitement des déclarations et de la plupart des demandes d’autorisation, ses ressources seront sans doute plus disponibles pour effectuer des contrôles.

En ce qui concerne les sanctions pécuniaires, le plafond de 20 millions d’euros (ou des 4 % du CA) est bien un… plafond. Même s’il ne sera probablement pas atteint d’emblée, il permettra de fixer des échelons intermédiaires. À titre d’exemple, le plafond actuel de 150 000 euros prévu par la Loi Informatique et Libertés n’a été infligé que deux fois par la CNIL. Selon le relevé des sanctions publiées sur Légifrance, les quarante sanctions pécuniaires prononcées par la Commission entre 2006 et 2017 varient surtout entre… un malheureux euro et 50 000 €. Avec un plafond à vingt millions d’euros, on peut s’attendre à ce que les sanctions augmentent fortement avec des montants en centaines de milliers d’euros. D’autant plus que le RGPD impose une certaine harmonisation des sanctions entre les pays de l’Union, et que les autorités qui pratiquaient des amendes importantes (comme les autorités espagnole et anglaise) risquent de contribuer à tirer la tendance vers le haut.

Ceci dit, l’esprit du RGPD s’attache bien plus à la responsabilité («  accountability  ») des responsables de traitement qu’aux sanctions. C’est donc plutôt dans ce sens qu’il convient d’orienter la réflexion.

La tenue du registre des traitements est la première étape de cette responsabilité : comment une organisation peut-elle assurer la maitrise de ses traitements sans disposer d’un inventaire précis  ? C’est tout l’intérêt d’un registre exhaustif, qui suppose une bonne connaissance de la cartographie des traitements. Et cela concerne tous les traitements, y compris ceux qui sont externalisés, hébergés, ou logés dans le «  cloud  ». Si 93 % des entreprises disent avoir un registre, ou être en train de le créer, l’information à ce sujet semble encore très imparfaite  ; en effet, seuls 47 % des répondants pensent que le registre doit couvrir tous les traitements. Imagine-t-on un contrôleur aérien qui n’a connaissance que d’une partie des aéronefs en approche  ?

La mise en conformité nécessite également un pilotage cohérent avec un Délégué à la protection des données (DPD, ou DPO dans sa version anglophone) dont c’est la mission. Ainsi, même si l’organisme n’entre pas sous le coup de l’obligation de désigner un DPD (selon l’article 37 du RGPD) l’AFCDP recommande de nommer sans tarder un Correspondant Informatique et Libertés (dans le cadre de la loi Informatique et Libertés), qui aura vocation à devenir DPD dès que la CNIL ouvrira la procédure de désignation, probablement avant la fin 2017. Le baromètre semble indiquer que les entreprises ont bien intégré cette orientation, puisque 78 % d’entre elles indiquent que le projet RGPD est pris en charge par le CIL, le DPD ou le futur DPD. Pour celles qui ne seraient pas encore convaincues, l’AFCDP a publié une série de témoignages de responsables de traitement qui expliquent tout l’intérêt qu’ils ont retiré de la désignation d’un CIL, futur DPD.

La troisième préoccupation sur laquelle il convient de se concentrer est la documentation des traitements : en contrepartie de la disparition des formalités préalables (déclaration à la CNIL, demande d’autorisation…) le principe de responsabilité exige que chaque traitement fasse l’objet d’une documentation formalisée qui permettra, en cas d’incident ou de contrôle, de démontrer que la mise en œuvre a bien respecté les obligations du Règlement.

Cette documentation englobe la grande nouveauté que constitue l’Analyse d’impact sur la protection des données (AIPD), prévue par l’article 35 du règlement. Si l’AIPD ne s’impose que si le traitement «  est susceptible d’engendrer un risque élevé pour les droits et libertés  », en cas d’incident (par exemple en cas de fuite de données), il faudra être en mesure de présenter les résultats de cette analyse, ou de montrer pourquoi on avait estimé qu’elle ne s’imposait pas. D’où la nécessité d’effectuer, dans tous les cas, une «  mini analyse d’impact  ». Une pratique à exiger, d’ores et déjà, de tous les chefs de projet. Et apparemment, il y a encore beaucoup à faire à ce sujet puisque 64 % des entreprises n’ont pas encore ouvert le chantier des AIPD. Rappelons qu’il s’agit bien ici d’étudier les impacts potentiels du traitement sur les personnes concernées, et non sur l’entreprise.

Mais finalement, toutes ces considérations ne doivent pas faire perdre de vue l’esprit du RGPD, dans la droite ligne de la Loi Informatique et Libertés. N’en déplaise à certains acteurs (cabinets de conseil, constructeurs, éditeurs, etc.) qui entretiennent une frénésie culpabilisante, de menaces de sanctions en solutions censées fournir une immunité rassurante, les professionnels de la protection des données que fédère l’AFCDP préfèrent concentrer l’attention sur les avancées positives qu’apporte le Règlement.

Non, le RGPD n’est pas qu’une question de sécurité des données  ! C’est d’abord une affaire de posture qui doit commencer par la conviction que la protection des données (des prospects, des clients, des patients, des collaborateurs…) répond à une attente des individus, et qu’elle participe pleinement à la responsabilité sociétale des organisations. Devant l’avalanche de propositions commerciales qui finissent par semer le trouble dans l’esprit des décideurs, le Délégué à la protection des données est, plus que jamais, l’interlocuteur incontournable à même de définir les objectifs prioritaires et de sélectionner les réponses adaptées à la démarche de mise en conformité de son organisme.

Pour télécharger ces articles en version PDF

PDF - 1.2 Mo

Articles connexes:


Voir les articles précédents

    

Voir les articles suivants