9 questions pour une approche pragmatique de la GDPR/RGPD (1ère partie)
La nouvelle règlementation européenne en matière de protection des données entrera en vigueuren mai 2018. Plutôt que de se précipiter sur le déploiement de solutions techniques, il s’agit pour les entreprises d’approcher cette échéance de façon pragmatique en tenant compte du contexte et du risque particulier de l’entreprise et en s’appuyant sur l’existant.
Ce n’est sans doute pas le premier article que vous rencontrez traitant de la nouvelle réglementation européenne en matière de protection des données – GDPR / RGPD pour faire court. Depuis quelques mois, la toile abonde en effet de nouvelles alarmistes sur les défis que représente la mise en conformité avec cette loi qui entrera en vigueur au le 25 Mai 2018. En résumé, la montre tourne et les entreprises ne seront pas prêtes.
Face à cette échéance, deux attitudes sont à éviter: ne rien faire parce que l’on ne se sent pas concerné (après tout, mon entreprise est en Suisse!) ou au contraire se précipiter sur un outil informatique ou dans un projet colossal de classification de toutes les données de l’organisation. Entre les deux, une approche pragmatique s’impose. Et pour commencer, éclaircissons quelques points…
1. Votre entreprise est-elle concernée?
La GDPR/RGPD concerne toutes les entreprises ayant une orientation de marché européenne - autrement dit, qui ciblent des clients, résidents ou citoyens de l’UE. Pour les autres, la nouvelle réglementation européenne reste toutefois importante, car la prochaine Loi suisse sur la protection des données y ressemblera beaucoup, si l’on en croit le projet de révision adopté le 15 septembre par le Conseil fédéral. Pour une grande majorité des organisations suisses, il va donc falloir se conformer au nouveau cadre européen.
2. Qu’est-ce qui change?
Principal changement, la nouvelle règlementation étend la notion de responsabilité de l’entreprise quant aux données personnelles qu’elle traite- on parle de Responsabilité de bout-en-bout (tout au long du cycle de vie des données personnelles). A titre d’exemple, une organisation employant une solution en ligne (fournisseur de type SaaS) pour envoyer une newsletter à ses clients, devra désormais se soucier de la manière dont les données sont protégées et traitées par le fournisseur cloud. Plus question de se défausser sur un prestataire de service en cas de violation de la loi…
3. Quelles fonctions de l’entreprise sont impactées?
Les changements à venir concernent bien sûr l’IT, la sécurité des données et la gouvernance. Mais pas seulement! Le marketing qui propose un formulaire de contact en ligne sans signaler ce qui sera fait des données, est tout autant concerné. Idem pour le service client, les ressources humaines ou le service archivage: tous sont susceptibles d’être impactés dès lors qu’ils participent au traitement de données personnelles. Sans oublier le département communication chargé de préparer la diffusion d’informations relatives à des brèches / violations éventuelles. D’où l’importance de confier les initiatives de mise en conformité à des équipes mixtes à même de développer une vue à 360° des traitements de données personnelles opérés dans l’entreprise.
4. Sur quelles bases s’appuyer?
Heureusement, face au défi de la GDPR / RGPD, les entreprises ne partent pas de zéro. Elles sont déjà en conformités avec toute une série de lois locales, mêmes si ces lois ne prennent pas toutes en compte les aspects relatifs aux données personnelles. Dans bien des cas, elles ont également mis en œuvre des contrôles internes et déployé des outils de mesure des risques et de gouvernance ou de sécurité de type ISO (ISO 27000, 27005/31000, 27018) sur lesquels s’appuyer. Sans compter les organisations de certains secteurs – finance, santé – qui sont déjà soumises à des règlementations spécifiques couvrant en partie certains aspects de la GDPR / RGPD.
5. De combien de temps dispose-t-on?
Il faut agir vite, mais il n’y a pas lieu de se précipiter: la GDPR / RGPD entre en vigueur en mai 2018 et le régulateur ne s’attend sans doute pas à ce que les entreprises soient 100% prêtes à cette date. Il importe en revanche que les organisations disposent à cette échéance d’une idée claire de l’écart qu’elles ont à combler et d’une roadmap solide des mesures mises en œuvre ou planifiées.
6. Par quoi commencer?
Une démarche pragmatique commence par une cartographie de la situation actuelle de l’entreprise en matière de données personnelles et par une compréhension de son contexte particulier: L’entreprise gère-t-elle des données personnelles? Quelles catégories (classification)? De quels traitements ces données font–elles l’objet? Quelles fonctions de l’entreprise sont en charge de ces traitements? Quels sont les flux de données ? Qui a accès à quelles données et pourquoi ?
Mais aussi par un état des lieux de ce qui est déjà fait: Quelles mesures de gouvernance, de contrôle interne sont déjà en place ? Quels outils et techniques de protection sont déjà déployés ?
Cette compréhension de l’existant permet de faire une évaluation du risque spécifique à l’entreprise par rapport aux exigences de la nouvelle règlementation. C’est seulement cette analyse – couplée si nécessaire à une analyse de risques détaillées (Data Protection Impact Assessment) - qui permet de décider de façon pragmatique des mesures à mettre en œuvre (sur les aspects légaux, techniques et organisationnels) et de considérer d’éventuels outils ou processus à déployer.
Dans un article séparé, nous détaillons justement les différents domaines de la gouvernance et de l’IT impactés par la GDPR / RGPD et par conséquent les plus susceptibles de devoir être adaptés.