GDPR, cet immense chantier… Par où commencer ?
GDPR : panique de certaines entreprises sous le poids apparent du projet. Réel ou apparent ? Kris Vansteenwegen, Head of Security LifeCycle Services, NRB, fait le point.
° Si l’on s’en tient à la centaine d’articles relatifs au GDPR à absorber, on peut céder à la panique. Qu’observez-vous dans les entreprises ? Par où commencer ?
«Juridiquement, plusieurs notions du texte sont très nouvelles et vont bousculer les juristes et les responsables en entreprise chargés d’appliquer le texte. Ainsi, le droit à l’oubli numérique, la portabilité des données, la notification des violations de données… Des notions nouvelles qui nécessitent un temps d’adaptation, d’autant qu’en entreprise les responsables GDPR viennent de plusieurs pôles : informatique, juridique, sécurité, marketing… Qui plus est, la responsabilité s’étend aux sous-traitants et en dehors de l’Union pour tout détenteur de données personnelles traitées sur son territoire. Beaucoup d’entreprises sont encore en phase de décryptage des nouvelles obligations. Aujourd’hui, il est grand temps d’appuyer sur l’accélérateur !»
° Dans ce type de projet, personne ne joue à armes égales, entre les entreprises déjà bien structurées et les autres. Comment faire ? Comment trouver son chemin ?
«En avançant par étapes. Et en fédérant l’entreprise autour d’une équipe inter-départements dont le but sera de piloter le projet. En effet, plutôt que se lancer tête baissée dans de grands chantiers, il faut installer les bases d’une collaboration et d’une implication de toutes les parties importantes. Le GDPR est un projet impactant, qui dépasse la sphère des compétences de l’équipe IT de l’entreprise. La mise en conformité requiert un effort combiné des départements IT, juridique mais aussi commercial, dont le marketing, concernés par la gestion de données personnelles sous toutes ses formes, plus la direction générale.»
° Vous parlez d’un effort combiné… N’est-ce pas là une des difficultés ? Le service juridique a sa vision, le service informatique la sienne, etc.
«De fait, chacun a sa vision. C’est pourtant une approche globale qu’il s’agira de mettre en oeuvre. Et le premier exercice sera le plus déterminant : établir une cartographie des processus de l’entreprise, à commencer par le recensement de l’ensemble des documents détenus par l’entreprise. Et là, tout le monde est impliqué ! Le but est de disposer d’une cartographie des données et de son réseau : d’où viennent ces données ? Où circulent-elles ? Que contiennent-elles ? Il est ensuite important d’évaluer le niveau de sécurité adapté.»
° N’est-ce pas, finalement, un formidable exercice d’évaluation des données partant que toutes les entreprises créent et consomment des données, mais sans être capables d’en estimer l’importance ?
«Oui. Aussi, les organisations devraient commencer par revoir leurs modèles opérationnels et leurs sources de revenus afin de savoir quelles données sensibles à caractère personnel elles saisissent et de quelle manière elles les utilisent. Cet exercice les aidera à se concentrer sur les zones à haut risque qui représentent pour elles un enjeu majeur.
«A condition d’être exécuté correctement, le processus d’identification de ces éléments de données qui présentent un risque élevé fera partie du DPIA, l’analyse d’impact relative à la protection des données à laquelle l’entreprise est tenue de procéder en application de l’article 35 du GDPR.
Ce n’est qu’à partir du moment où l’entreprise a décidé de la manière de réagir aux problèmes qui se posent dans les zones à haut risque, reflétant son appétit pour le risque, qu’elle devrait s’efforcer de l’intégrer dans ses documents stratégiques.»
° Cet état des lieux réalisé, peut-on passer à l’action ?
«Oui, à condition de disposer de cet état des lieux. Cela passe notamment par la révision de la politique de confidentialité ou des modalités d’exercice des droits (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…). Il s’agit aussi de passer en revue les contrats des sous-traitants afin d’insérer des clauses précisant leurs nouvelles obligations et responsabilités.
«Des travaux informatiques seront alors engagés pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement. Il s’agit aussi de revoir les modalités d’exercice des droits des individus concernés, du recueil du consentement au droit à l’oubli. La finalité de chaque traitement et la durée de la conservation des données doivent être établies. Ce qui entraîne une révision en profondeur de la politique de confidentialité.
«Par ailleurs, on a tendance à les négliger, la conformité concerne aussi les sous-traitants, co-responsables au regard du GDPR. Les contrats fournisseurs devront comprendre une clause précisant leurs nouvelles obligations et responsabilités. Cela concerne également les prestataires basés hors de l’Union européenne pour peu qu’ils gèrent des données de citoyens européens.»
° Quid de la gouvernance ?
«Il faut clairement poser le cadre de la gouvernance. A savoir dresser l’ensemble des processus internes qui vont garantir l’intégrité et la protection des données tout au long de la vie d’un traitement. Comment prendre en compte cette protection dès la conception d’un traitement ? Comment seront traitées les demandes des personnes faisant valoir l’exercice de leurs droits ? En cas de violation, quelle est la chaîne de responsabilité ?
«Pour inscrire ce plan d’actions dans la durée, il convient de mettre en place la gouvernance spécifique visant à garantir l’intégrité de la donnée tout au long de la vie, de la collecte à sa suppression. Comment assurer le plus haut niveau de protection dès la conception d’un nouveau traitement ? Comment seront traitées les demandes des personnes fichées faisant valoir l’exercice de leurs droits ? Quelle est la chaîne de responsabilités en cas de fuite de données sachant qu’en principe les autorités devront être alertées sous les 72 heures ?
«Enjeu d’entreprise, la notion de respect de la vie privée doit être partagée par tous. Il convient de sensibiliser et former les collaborateurs aux nouvelles obligations introduites par le GDPR. Et rappeler qu’un simple fichier Excel contenant des contacts constitue un traitement de données personnelles !»