RGPD : quels nouveaux défis et quels outils ?
L’équipe GDPR de TNP (CIL Consulting by TNP ) est l’interlocuteur privilégié des organisations souhaitant se mettre en conformité avec la CNIL et avec le règlement européen de protection des données. Florence Bonnet, directrice TNP experte en protection des données, nous éclaire sur les nouveaux défis des entreprises suite à l’application du GDPR.
LE RGPD EST APPLICABLE DEPUIS LE 25 MAI 2018 : QUELLES SONT LES PROBLÉMATIQUES AUXQUELLES LES ENTREPRISES SONT CONFRONTÉES ?
Florence Bonnet : La réglementation sur la protection des données n’est pas nouvelle puisqu’en France par exemple, la loi « Informatique et libertés » a été adoptée en 1978. Pourtant, le RGPD marque un tournant.
D’une part, il implique un véritable changement de culture dans les organisations publiques et privées, la mise en place d’une gouvernance de la protection des données. D’après nos retours d’expérience et comme cela a été confirmé lors de récents sondages, les principaux problèmes que rencontrent les entreprises sont le manque de personnel spécialisé, le manque de budget et une compréhension limitée du RGPD. Tous ces points sont étroitement liés. La matière est complexe et fait appel à des compétences transversales. Tous les services et tous les métiers sont concernés dans l’entreprise : l’ensemble des projets susceptibles de porter sur le traitement de données personnelles doit suivre une démarche de Privacy by Design. Cela nécessite un gros travail de sensibilisation en interne mais aussi vis-à-vis des prestataires.
D’autre part, l’impact IT, largement sous-estimé, est parfois considérable. La mise en conformité du système d’information est indispensable afin de respecter les principes de minimisation, de sécurité, de gestion des durées de conservation, l’obligation de rendre compte (accountability) ou le respect des droits des personnes. Il s’agit d’évaluer les risques liés aux traitements puis d’évaluer la capacité d’évolution du parc applicatif en priorisant les actions et de mettre en place une gouvernance de la donnée dans l’ensemble des couches du système d’information. C’est généralement l’occasion de remettre la sécurité au cœur des préoccupations de l’entreprise par la remise à plat des mesures existantes, par l’intégration de la sécurité par défaut et en amont dans les projets et par l’équipement en nouveaux logiciels de détection d’incidents, de chiffrement ou d’anonymisation par exemple.
FACE À CES NOUVEAUX DÉFIS, QUELS SONT LES OUTILS À LA DISPOSITION DES ORGANISATIONS ?
F. B. : Le premier réflexe à avoir reste de désigner un Délégué à la Protection des Données ou Data Protection Officer (DPO). Le DPO conseille l’organisation qui l’a désigné et est chargé de contrôler la conformité des traitements de données. Il doit d’ailleurs être impliqué dans toute question portant sur la protection des données. C’est un signal fort de la part d’une entreprise qui souhaite montrer qu’elle est engagée dans une démarche de conformité au RGPD et les autorités de protection des données y sont sensibles.
La certification est un autre moyen prévu par le RGPD et permettant à une organisation de démontrer la conformité de ses traitements de données.
Enfin, sur un plan pratique, beaucoup d’organisations commencent à toucher du doigt les limites du registre sur Excel et se tournent vers des solutions logicielles pour documenter et piloter la conformité au RGPD : il peut s’agir de solutions permettant d’établir les mapping des données et l’inventaire des actifs, de maintenir à jour le registre des traitements, de s’assurer de la gestion du consentement, de contrôler le respect des mesures à l’aide d’un workflow et de questionnaires d’audit ou de gérer les demandes d’exercice des droits des personnes.
En contrepartie, les entreprises ont donc besoin d’être accompagnées par des professionnels qui maîtrisent la réglementation dans ses aspects juridiques et techniques et qui disposent aussi d’une maîtrise des outils logiciels.