Mathieu Grall, Chef du service expertise technologique de la CNIL a dressé un rapide historique de la protection à caractère personnel depuis les premières législations avec la Loi Informatique et Liberté de 1978. Pour lui, la nouvelle législation va vers un renforcement de la protection des citoyens, une plus grande responsabilisation des entreprises et un renforcement des pouvoirs de la CNIL. Ainsi, toutes les entreprises sont concernées par cette nouvelle législation qui devrait être mise en application d’ici deux ans. A titre d’exemple, il a rappelé que même une adresse IP est une donnée à caractère personnel...

Garance Mathias explique que cette législation va obliger les entreprises à repenser leur relation avec les clients, les sous-traitants de rang 1 et de rang 2. Ainsi, de nouvelles procédures et méthodes vont devoir être mises en place.

Le DPO dans la continuité du CIL

Paul-Olivier Gibert considère pour sa part qu’il y a une continuité entre les CIL et les DPO. De la même manière, que cette nouvelle loi est une prolongation de la réglementation de 1995. La loi offre une logique de simplification des procédures. Le DPO devrait avoir une fonction de conseil et d’assistance auprès du responsable des traitements des données. Il aura une fonction clé dans les entreprises. Le DPO s’applique à toutes les entreprises quelles que soient leurs tailles. Ainsi, il sera nécessaire dans certaines entreprises d’avoir un cumul de fonction, pour d’autres il faudra séparer les postes. Le DPO devra avoir des connaissances approfondies en matière juridique mais aussi de bonnes connaissances techniques au niveau de la SSI.

La création d’un poste de DPO s’inscrit dans une réflexion globale de gestion de risque

Stéphane Omnes, DPO d’Adeo Service, a expliqué que dans son groupe suite à une réflexion globale de la gestion des risques en 2014, il a été décidé de créer un service de gestions des risques pour la protection des données. En fait, entre l’explosion des données et les valeurs de l’entreprise, une démarche de conformité a été initiée avec la création du poste de DPO. Cette réglementation européenne va simplifier son travail du fait que son groupe rayonne entre autre en Europe.

Cet autre RSSI explique qu’avec l’entrée dans l’ère numérique, le sujet de la protection des données à caractère personnel a été abordé. Ainsi, une étape de sensibilisation auprès du COMEX a été engagée, puis, avec leur aide, cette démarche a pu descendre dans l’ensemble de l’entreprise.

Protection des données à caractère personnel : La sensibilisation de tous est nécessaire !

Mathieu Grall considère que le principe de base est d’apporter la confiance au niveau des employés, des sous-traitants... Il faut faire prendre conscience des problèmes engendrés par une perte de données à caractère personnel afin de mieux protéger ces données. Il a confirmé que la CNIL a une mission de conseil auprès des entreprises. D’ailleurs, il y a un service dédié pour aider les CIL et des guides sont aussi produits.

Paul-Olivier Gibert explique que l’essence de l’AFCDP est d’accompagner les CIL en travaillant de façon très pragmatique. Par exemple plusieurs documents sous forme de guide sont édités par l’AFCDP. Il conseille de désigner dès à présent un CIL afin d’anticiper l’application de ce règlement européen.

Garance Mathias rappelle que les administrations sont aussi concernées par cette nouvelle réglementation. Elle a mis en garde les sous-traitants afin qu’ils n’oublient pas de prévoir les procédures de fin de contrats. Il faudra que les entreprises s’assurent que les données soient bien détruites à la fin des contrats. Elle a aussi mis en garde les entreprises qu’en septembre 2016 le projet de Loi numérique devrait être adopté. Il est donc important qu’elles agissent rapidement pour se mettre en conformité avant cette première échéance.

Mathieu Grall signale que des travaux sont aussi entrepris par ses homologues européens qui travaillent sur des « Guides Lines DPO ».

Privacy by design, audits internes, sous-traitants, sensibilisation… Le DPO a du pain sur la planche

Stéphane Omnes explique que dans son entreprise, les responsables marketing doivent s’occuper des problèmes inhérents aux données clients et celui de la RH des données des collaborateurs. Par ailleurs, les directions sont aussi sensibilisées sur ces problématiques. De plus, les conseillers de ventes reçoivent des sessions de formation sur la protection des données des clients qu’ils manipulent. En outre, il travaille avec l´IT sur les sujets sensibles comme l’IOT, le Cloud... De plus, il collabore avec les juristes de l’entreprise sur la conformité des données à caractère personnel avec un focus particulier sur les sous-traitants.

Quant à cet autre RSSI, il procède à des sessions de sensibilisation de tous
les collaborateurs et a également mis en œuvre de la privacy by design et procède à des audits internes. Concernant les sous-traitants, il a mis des clauses contractuelles pour inclure la protection des données à caractère personnel. Mathieu Grall considère que la privacy by design doit être faite dans un objectif de protéger les impacts des pertes de données à caractère personnel sur la vie privée.

Les sanctions pénales pourraient impacter significativement les entreprises

Garance Mathias rappelle que des sanctions pénales vont aussi être mises en place qui pourront être assez élevées jusqu’à quelques pour-cent du CA annuel sans compter les risques d’images. En effet, très souvent une publication du motif des sanctions devrait être faite.

Cet RSSI considère qu’avant même de parler des sanctions, la difficulté reste de faire passer les budgets nécessaires surtout au début. Pour Stéphane Omnes, le marketing de la peur a fait son effet, avec des affaires qui ont impactées certains de ces concurrents. Ainsi, des moyens ont été débloqués. Par contre, il remonte des problèmes pour trouver des DPO dans certains pays européens. Il recommande de se former au niveau juridique tant sur les législations françaises, européennes que pour d’autres pays hors d’Europe.

Au final on peut penser que cette nouvelle législation va avoir des impacts sur les ventes de solutions de sécurité, sur les services et sur l’emploi en faisant émerger le poste de DPO.