Le nouveau règlement européen qui entrera en vigueur en mai 2018 qui impactera toutes les entreprises dans le monde qui collectent, traitent et stockent des données personnelles de citoyens européens. Un enjeu capital et complexe qui nécessite du temps de mise en œuvre et qu’il s’agit donc de lancer dès maintenant. Les conseils de Denis Skalski, directeur Conseil chez Umanis.
À vos marques… prêt, appliquez ! Le chrono est lancé pour la mise en application de la GDPR (pour General Data Protection Regulation ou RGPD, règlement général sur la protection des données). Ce règlement européen impactera toute entreprise dans le monde qui collecte, traite et stocke des données personnelles de citoyens européens dont l’utilisation peut directement ou indirectement identifier une personne physique. D’ici un an, il faudra que tout le monde soit en conformité : petites, moyennes ou grandes entreprises.
La mise en conformité entraine son lot de complexité. D’une part, l’ampleur des chantiers à mener oblige à identifier, à analyser et à mettre en conformité les processus informatisés (impliquant les traitements, les données et leurs usages) ou non informatisés (gestion manuelle des documents). En clair, une cartographie exhaustive des données collectées, consommées par d’autres applications et exploitées, par le marketing par exemple, s’impose !
Il s’agit, d’autre part, d’élaborer des services dédiés aux personnes physiques afin qu’elles puissent exercer facilement leurs droits (droits d’accès, droits de portabilité, droits à l’oubli, droit à la limitation du traitement…). Enfin, il s’agit de mettre en place une Gouvernance spécifique visant à exécuter les procédures, à piloter les actions et identifier les évolutions de ces data. Tout devra être mesurable et traçable pour répondre au fondement d’Accountability de la GDPR.
Dans les faits, que devez-vous faire dès à présent ? Avant tout, il convient de sensibiliser les dirigeants et les membres du comité de direction des entreprises. Sans leurs sponsorings, la démarche est quasi-impossible à mener. De cette étape découle une action de contextualisation juridique de l’application de la GDPR dans l’entreprise mais surtout la mise en place de la politique GDPR au sein de l’organisation.
Ensuite, la démarche pourra être déroulée. La première phase consiste à un état des lieux global et rapide de l’entreprise face à cette réglementation. Le but : identifier le périmètre des processus concernés, l’évaluer en termes de criticité afin de se focaliser sur l’essentiel. C’est une des clés de succès de la démarche permettant d’avoir des résultats rapides sans engendrer un effet tunnel. Une feuille de route calée sur un état hiérarchisé des risques est produite, qualifiée, quantifiée et arbitrée. Celle-ci intègre bien entendu les actions de mise en place du Groupe de travail, de mobilisation, de formation et d’outillage de la démarche.
Deuxième phase : organiser et planifier finement le périmètre d’intervention avec la mise en place d’une gouvernance GDPR spécifique. Cette étape de design est une autre clé de succès de la mise en conformité. À son issue, la direction de l’entreprise bénéficie d’un plan précis et hiérarchisé d’intervention, de mobilisation, de responsabilisation et de communication associé à un budget.
À ce stade, comment déceler tous les points de non-conformité ? En analysant de manière détaillée les processus, les traitements, les données et leurs finalités et en utilisant une matrice intégrant les règles GDPR. Cette matrice permettra de calculer le niveau de conformité de chaque processus analysé et de les soumettre à une analyse des risques (EIVP pour Etude d’Impacts sur la Vie Privée). À l’issue de cette phase, un plan d’actions de « mise en conformité » associé à des priorités sera formalisé et soumis à arbitrage. A noter que les juristes, avocats, experts, consultants data, responsables de Traitements et DPO (Data Protection Officer) participent de concert à cette phase centrale de l’étude.
Et après ? Il convient de suivre le plan d’actions « de mise en conformité » ! Et ce n’est pas si simple en réalité. Il y a des travaux informatiques bien sûr, de sécurisation, de rédaction des procédures, de modification des éléments juridiques mais aussi la mise en place opérationnelle d’une organisation dédiée intégrant les RT (responsables des traitements), les DPO (internes ou externes à l’entreprise) avec des processus associés. Ces travaux sont nécessaires mais pas suffisants car il convient également de mettre en œuvre un système permettant de répondre aux exigences d’Accountability. Il est donc essentiel de bien penser à l’outillage dès le départ afin de pouvoir capitaliser sur les éléments recueillis lors des phases précédentes.
Au-delà de ces enjeux de conformité, l’idée est de convertir la contrainte en opportunité positive pour l’entreprise. Dans un monde transformé par l’arrivée du Big Data et du Machine Learning, par l’Uberisation des services et par la Digitalisation du commerce, la GDPR constitue un effet d’aubaine. La conformité devrait être un élément différenciateur fort, notamment en 2018. À cette date, quels clients accepteront de continuer à acheter des produits ou des services à des entreprises qui ne protègent pas leurs données personnelles ? Quelles personnes accepteront que les sociétés continuent à « faire de l’argent » avec leurs noms, adresses, numéros de téléphone et autres logs sur Internet ?
Alors, êtes-vous prêts ?
Si on se réfère aux propos de la CNIL du 27/03/2017, il semble que peu d’entreprises soient préparées, voire informées. Compte tenu des travaux à mener pour être à la hauteur de ce règlement, le délai est très court. Les obligations de la GDPR supposent qu’une entreprise doit, dès mai 2018, démontrer sa bonne foi dans sa mise en conformité intégrant le fait qu’elle sera apte (avec ses sous-traitants) d’alerter la CNIL sous 72 heures en cas de violation, tout en étant apte à notifier cette violation aux personnes physiques concernées. Vous devez donc savoir précisément de quelles données vous disposez, leur localisation, l’objectif et la finalité de leur collecte, le mode de gestion, stockage, sécurisation, transfert et effacement.
Cette série d’obligations imposent à l’entreprise d’intégrer la sécurité au cœur de son traitement des données, sous peine de sanctions et de dépréciation de son image de marque bien plus élevées que l’investissement initialement nécessaire. Imposer la cyber-résilience oblige ainsi l’entreprise à être préparée aux cyber-attaques.
Plus qu’un ensemble de contraintes, la GDPR doit être considérée comme une opportunité de croissance par la confiance instaurée. S’y conformer est certes une obligation, d’une part, mais très probablement aussi un investissement dont l’entreprise devra tirer parti comme axe d’amélioration de sa performance. Il y a fort à parier qu’en faisant l’effort de repenser la façon de gérer les données, la connaissance client notamment, tant recherchée par les entreprises aujourd’hui, s’en trouvera dès lors améliorée. Il sera du ressort des entreprises de garantir que nos données personnelles ne seront plus utilisées, pire monnayées, sans notre consentement, comme les banques le garantissent aujourd’hui pour les données de notre compte bancaire.
L’entrée en vigueur de la GDPR obligera à installer une meilleure gouvernance des data. Attention, le diagnostic prend du temps et les actions qui pourront rendre les entreprises conformes à cette nouvelle réglementation seront chronophages.
La GDPR, en bref
Depuis 1995, chaque pays détenait sa propre autorité de protection des données. Dites adieu à l’ancienne directive… Dès mai 2018, le règlement général sur la protection des données RGPD ou GDPR, pour General Data Protection Regulation, entrera en vigueur. Il s’appliquera directement et instantanément à tous les pays sans passer par une loi ou un décret d’application national. Aucune société ne pourra y échapper et l’échéance ne sera pas repoussée ! Il semble bien d’ailleurs que les parlementaires européens initiateurs de cette réglementation veuillent faire des exemples dès mai 2018.
L’heure est donc à la protection des données pour l’UE et le commerce mondial. Le manque de transparence vis-à-vis du citoyen sur l’utilisation de ces données ne sera plus autorisé. Place à une gouvernance et une gestion sérieuse pour sécuriser les data sous peine de pénalités lourdes : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel de l’entreprise sanctionnée avec des sanctions civiles, administratives voire pénales pour le Dirigeant de l’entreprise à la clé !
L’objectif ? Responsabiliser les entreprises, ainsi que leurs sous-traitants, assurer plus de transparence envers les personnes (clients, prospects, employés, candidats…) et donc instaurer une relation de confiance dans le monde numérique. Cyber-sécurité oblige. Aujourd’hui, les data constituent la ressource entrepreneuriale la plus précieuse. Son vol entache quasi-automatiquement l’image et la confiance en l’entreprise. D’autant plus lorsque celle-ci se fait voler des DCP (données à caractère personnel). C’est pourquoi, toute société gérant les data de résidants de l’UE devra démontrer qu’elle est en conformité avec le nouveau règlement.
En France et dès mai 2018, les procédures déclaratives à la CNIL disparaitront au profit d’une obligation de moyens des entreprises et d’une capacité à démontrer la preuve, à tout moment, de l’existence et du bon fonctionnement des procédures de protections des DCP mises en œuvre. Appliquées a priori, ces normes feront l’objet d’un réel contrôle par des organismes certifiés. Au-delà de ces contrôles, c’est un nouveau marché qui s’ouvre avec la création de plusieurs milliers de postes de DPO (Data Protection Officer) qui seront les « chefs d’orchestres GDPR ». Ils auront de nombreuses responsabilités, notamment de piloter les travaux de mise en conformité, de réaliser des audits internes, de fédérer les responsables de traitements mais aussi d’appliquer les procédures mises en place entre l’entreprise et la CNIL en cas de violation.