Les 10 mots clefs pour expliquer le GDPR à un Comex
Le futur règlement européen sur les données privées est simple dans l’esprit, mais beaucoup plus subtil dans son application. A tel point que beaucoup de Comités de Direction ne sont pas sensibilisés. Voici 10 mots clefs pour y remédier.
C’est un fait, le RGPD, qui entrera en vigueur l’année prochaine, est une lame de fond. Mais malgré l’importance du sujet, les Comités de Direction sont encore assez peu nombreux à avoir pris la mesure du changement à venir.
Voici 10 mots clefs qui résument le RGPD. Ils devraient aider les DSI à « pitcher » le sujet et à « sensibiliser » les Comex.
A ces 10 entrées s’ajoutent les trois fondements théoriques du GDPR - « Accountability », Coresponsabilité, « Privacy by Design » - que nous avons définis avec Maître François-Pierre LANI, associé au sein du cabinet Derriennic Associés et spécialiste en droit de l’informatique et des technologies nouvelles.
Rappelons par ailleurs que le règlement européen va se décliner en actions concrètes pour les entreprises. Ces actions devront respecter les recommandations de la CNIL, qui sont actuellement en cours d’écriture. On pourra donc également – et avantageusement – compléter ce point avec où en est-on dans les consignes concrètes ?
Les 10 mots clefs...
RGPD : Règlement Général pour la Protection des Données. Texte européen de référence en matière de protection des données personnelles.
Il remplace la Directive de 1995 en la rendant beaucoup plus stricte (les entreprises doivent devenir pro-actives sur le sujet) et plus sévère (avec des sanctions financières importantes). En tant que règlement, il s’applique tel quel et uniformément. Il n’a pas eu (et c’était voulu) à être traduit dans le droit de chaque pays (ce qui aurait permis à des parlements d’en limiter les effets localement). GDPR (pour General Data Protection Regulation) est l’acronyme anglais de RGPD. Il est le plus usité, même en France.
G29 : groupe de travail créé en 1995 qui regroupe les « CNIL » européennes. Il se réunit tous les deux mois à Bruxelles.
Lignes Directrices : ou « Guidelines ». Documents officiels du G29 à suivre à la lettre pour les entreprises pour être conformes. Les lignes directrices traduisent le RGPD en actes concrets.
Les 7 chantiers du RGPD
Le Règlement Général sur la Protection des Données, ce sont 7 chantiers : DPO, Etude d’impact, Portabilité, Notification des violations, Consentement des personnes, Profilage, Certification, Autorité chef de file.
Ces chantiers visent à introduire des procédures ou des limitations, qui renforcent le contrôle des Européens sur leurs données personnelles.
Résultat, le RGPD donne aux citoyens de l'Union plus de 10 droits (Chapitre 3 du Règlement) contre 3 précédemment (opposition justifiée au traitement, droit d’accès, droit de rectification et de suppression).
... dont les 7 chantiers
DPO : Délégué à la protection des données (ou Data Protection Officer). Le DPO est chargé de mettre en œuvre la conformité RGPD au sein de l’organisme qui l’a désigné.
Il n’est pas obligatoire (sauf pour les autorités publiques et les « organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle »), mais il est fortement « encouragé » (sic).
Le DPO est le « successeur naturel » du CIL (Correspondant Informatique et Liberté).
Analyse d’impact (étude d’impact) : description systématique des opérations de traitements. Elle comprend une évaluation « de la nécessité et de la proportionnalité des opérations au regard des finalités » (pourquoi, au sein de l’entreprise, effectuer ce traitement sur une donnée privée et quelle est sa nécessité).
Y figurent également l’évaluation des risques pour les droits et les libertés et – « et c’est peut-être le point le plus important » pour Me Lani - les mesures pour faire face aux risques identifiées.
Portabilité : possibilité de récupérer ses données personnelles dans un format ouvert et lisible pour les stocker ou les transmettre d’un système d’informations à un autre
Notification de violation de données personnelles : concept qui impose de notifier une violation de données personnelles dans les meilleurs délais, si possible, dans les 72 heures au plus tard après en avoir pris connaissance.
C’est le responsable du traitement (qui exactement dans un groupe ? les travaux sont en cours pour le préciser) qui doit communiquer un ensemble d’informations relatives à l’intrusion ou à l’attaque.
Consentement : volonté clairement affichée et vérifiable qu’une personne a donnée pour que l’on collecte et traite des informations personnelles la concernant. Le RGPD renforce les obligations de consentement pour les responsables de traitement (matérialisation de la preuve du consentement, retrait facilité du consentement, etc.)
Profilage : consiste à traiter des données personnelles pour analyser ou prédire des éléments concernant « le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
L’automatisation du profilage – et des décisions qui en découlent - est au cœur des débats.
Autorité chef de file : autorité qui est déterminée comme responsable et compétente dans le cas de traitements transfrontières qui impliquent plusieurs établissements.
Le but est de simplifier et de rendre plus transparentes les opérations dont les responsables de traitement ou le sous-traitant sont localisés dans différents états membres.