GDPR : les différentes étapes d’un projet de mise en conformité pour la DSI
Pour y voir plus clair dans le nouveau règlement européen sur la protection des données privées, l’avocat spécialisé François-Pierre LANI explique les points clefs à comprendre et à mettre en œuvre. Cette troisième partie revient sur le déroulement concret d’un projet pour un DSI.
François-Pierre LANI est avocat associé au sein du cabinet Derriennic Associés. Il est spécialiste en droit de l’informatique et des technologies nouvelles.
Cet article est le quatrième d'une série de cinq. Le premier a abordé les trois piliers du RGPD que sont l’« Accountability », la coresponsabilité et le « Privacy by Design ». ». Le deuxième a précisé quelles données et quelles entreprises sont concernées par le RGPD. Le troisième s’est penché sur les outils que l'on peut d'ores et déjà commencer à mettre en place pour atteindre la conformité.
La cinquième partie de cet entretien reviendra sur les opportunités et les menaces que le RGPD représente pour les acteurs français.
Venons-en au terrain. Quelle est la première étape d’un projet RGDP pour une DSI ?
L’opération essentielle et première – qui peut d’ailleurs s’étaler dans le temps – c’est un « recensement des opérations de traitements et de mise en œuvre dans l’entreprise ». En clair, on recense les opérations de traitement.
Avant, quand on était soumis à un régime de déclaration et d’autorisation, ce traitement se faisait de façon assez classique. Aujourd’hui nous avons une méthodologie et des outils qui nous sont propres et nous identifions l’ensemble des flux des données personnelles.
Puis nous faisons des entretiens dans lesquels on recense ces traitements et où l’on aborde la question de leur pertinence. C’est ce dont on parlait sur l’analyse d’impact.
L’idée est de dire « je fais ce traitement depuis longtemps mais je n’ai jamais évalué sa nécessité au regard des finalités poursuivies par ce traitement ». Donc on fait ce travail. Ce qui revient à détecter, d’un point de vue purement formel, des « zones de risques ».
Nous avons eu un cas intéressant dans un grand groupe côté au CAC 40 qui effectuait le traitement de données d’élus syndicaux en place mais également d’élus n’ayant plus de mandat.
Il s’agissait officiellement d’évaluer les forces syndicales en présence mais nous avons été obligés de leur suggérer la suppression de ce traitement. Nous avons identifié ici un risque de non-conformité. En effet, même la finalité officielle de ce traitement ne donne pas le droit de gérer ces mandats quand ils sont révolus.
Quelles sont les autres étapes d’un « projet RGPD » ?
La première étape est donc ce recensement. L’entreprise a le panel de tous ses traitements de données personnelles, et l’ensemble des flux informatiques et manuels ce qui lui permet de dire d’où vient chaque traitement, par qui il est effectué, et à qui il sert. C’est une cartographie complète de la donnée qui permet de définir les enjeux et les risques propres à l’entreprise.
Ensuite, on fait un travail à la carte. On priorise. Est-ce qu’on ne gère que les traitements à grands enjeux et à gros risques ? Ou tous les traitements ?
De là, en fonction de la taille de l’entreprise, on établit une feuille de route : mise en place d’une gestion de projet en tant que telle de ces risques, politique de sensibilisation par la formation, nomination du fameux DPO (obligatoire, pas obligatoire, recommandé), mise en place d’une gouvernance, processus de gestion des traitements (pour avoir un processus connu, maintenu et entretenu dans l’entreprise).
Et in fine, notre partenaire (Quantic) intervient pour mettre en place les outils de sécurité informatique et logiciels. Et nous, nous mettons en place les registres de clauses qu’il faut inclure dans les contrats, le fameux registre des traitements.
A l’issu de toute cette démarche, on essaye d’indiquer un taux de conformité au RGPD.
L’idée c’est d’avoir engagé la démarche pour pouvoir dire en cas de contrôle « voici ce que nous avons organisé au sein de l’entreprise ». Déjà ça, ce sera très bien.
Quelle serait votre recommandation, la priorité aujourd’hui face à l’arrivée de cette RGPD ?
La sensibilisation de la direction générale des entreprises. Un effort pédagogique pour dire que nous nous situons aujourd’hui dans un autre raisonnement.
Chaque direction doit mettre à l’ordre du jour de son comité de direction, de son conseil de surveillance ou de son conseil d’administration, deux sujets : « l’information sur le RGPD » et le « lancement d’une procédure de mise en conformité ». Cela me parait incontournable. Le premier sujet c’est vraiment la sensibilisation de la Direction... et la nomination d’un Sponsor pour lancer ces chantiers dans toutes les entreprises.
évidemment, chaque entreprise doit lancer ce chantier avec une prégnance différente selon que son cœur de métier est le traitement de la donnée personnelle ou pas.
Ce sera des petits chantiers pour certains. Quasiment des non sujets pour d’autres (mais j’en doute). Et pour beaucoup des découvertes qui seront de vraies surprises.
François-Pierre LANI est avocat spécialiste en droit de l’informatique et des technologies nouvelles. Il a été pendant plus de dix ans juriste et directeur juridique au sein de différentes directions juridiques dont celles d’AXA, de SLIGOS (ATOS) et du groupe ELF AQUITAINE. Ces expériences ainsi que celle de « business development manager » pendant 3 ans lui permettent aujourd'hui d'accompagner les dirigeants dans leurs différentes décisions.