Tic, tac, tic, tac… Le compte à rebours est lancé pour la mise en œuvre du Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais pour General Data Protection Regulation). A compter du 25 mai 2018 le règlement sera applicable pour les entreprises concernées. Elles devront a minima identifier leur Délégué à la Protection des Données (DPD ou Data Protection Officer en anglais), étape obligatoire ou fortement recommandée, évaluer leur exposition aux risques et disposer d’un plan de mise en conformité détaillé. Cette mise en œuvre implique une forte dimension organisationnelle tant au niveau du rôle de certains acteurs de l’entreprise que des processus internes. De nouveaux processus doivent être créés, d’autres sont à adapter. Pour autant est-il nécessaire de révolutionner l’organisation interne liée à la protection des données personnelles ?
Le DPD : un rôle nouveau dans l’organisation interne des entreprises
Dans le cas de certaines entreprises, le règlement impose la nomination d’un Délégué à la Protection des Données (DPD). Il s’agit d’un CIL (Correspondant Informatique & Libertés) aux pouvoirs renforcés. Pour les entreprises ayant déjà un CIL, ce dernier est d’ailleurs légitime à occuper cette nouvelle fonction. Pour les autres entreprises la nomination est fortement recommandée.
Son rôle est central dans l’évolution de l’organisation interne de l’entreprise puisqu’il est à la fois le point de contact pour les collaborateurs concernés en interne par le RGPD et pour l’autorité de contrôle.
Le DPD :
- est un membre du personnel ou un prestataire externe,
- est indépendant et ne peut être placé en situation de conflits d’intérêts,
- est soumis à une obligation de confidentialité et au secret professionnel,
- a besoin des Métiers pour établir une cartographie des traitements et en établir le registre,
- doit être écouté et appuyé par l’Exécutif,
- doit avoir des compétences réglementaires, en particulier du RGPD, et des connaissances du fonctionnement de l’entreprise, des fonctions IT et de la sécurité des données,
- doit sensibiliser les collaborateurs de l’entreprise et insuffler la culture de la donnée,
- peut exercer une autre fonction au sein de l’entreprise,
Enfin il faut noter un avantage organisationnel significatif pour les groupes d’entreprises qui peuvent nommer un seul et unique DPD à la condition qu’il soit facilement identifiable et accessible pour les différentes filiales.
RGPD et organisation interne : l’évolution des processus
Demain, l’entreprise devra démontrer qu’elle est en conformité, ce qui suppose de la part des organisations d’être en mesure de prouver à tout moment qu’elles ont pris les mesures techniques, organisationnelles et juridiques nécessaires. Par exemple, la déclaration préalable à la CNIL est supprimée et remplacée par l’obligation de tenir un registre des traitements de données.
Les principaux changements organisationnels consistent à anticiper, sensibiliser et traiter :
- Anticiper la protection des données dès la conception d’un traitement et la sécurité par défaut (Privacy by design / default)
Le responsable d’un traitement peut demander l’avis du DPD sur la nécessité d’effectuer une Etude d’Impact sur la Vie Privée (EIVP) pour atténuer les risques d’atteinte aux droits des personnes concernées. Un nouveau processus de notification aux autorités dans un délai de 72h doit être mis en œuvre. Le délai de notification aux personnes concernées doit se faire dans les meilleurs délais. Il est à noter qu’un service de notification de violation des données personnelles sera disponible en mai 2018 sur le site de la CNIL.
- Sensibiliser les collaborateurs de l’entreprise et les parties prenantes
L’objectif est de sensibiliser et former les acteurs de la donnée pour initier une culture de la protection des données dans le but d’acquérir des réflexes et des bonnes pratiques.
- Traiter les demandes des personnes souhaitant exercer leurs droits
Le règlement renforce les droits d’accès, rectification, opposition, effacement, retrait du consentement, portabilité des données. Le traitement de ces demandes implique des impacts sur la DSI pour connaitre les procédures de mises à jour, extraction, modification, suppression et contrôle des traitements et des bases de données. Ce traitement implique aussi une étude des impacts fonctionnels pour ne pas affecter la bonne exécution des traitements concernés.
Pour conclure, le nouveau RGPD représente une opportunité pour les organisations, en permettant l’évolution de processus existants et la définition de nouveaux rôles permettant une meilleure gouvernance transverse des données.