GDPR : il est encore temps de vous mettre en conformité

A moins d’un an de la mise en application du règlement général sur la protection des données, de nombreux rapports montrent que beaucoup d'entreprises européennes ne se préparent pas suffisamment pour se mettre en conformité.

La GDPR (General Data Protection Regulation), nouveau règlement européen sur la protection des données qui entrera en vigueur le 25 mai prochain, réunit en un seul texte, les lois des 28 états membres de l'Union Européenne. Son objectif : accroître les droits des individus sur leurs données personnelles. A moins d’un an de sa mise en application, de nombreux rapports montrent que beaucoup d'entreprises européennes ne se préparent pas suffisamment pour se mettre en conformité.

Or, la GDPR se traduit par des obligations plus rigides et des pénalités de non-conformité plus lourdes pour les entreprises. La démonstration de la conformité elle-même sera un défi pour la plupart des organisations, qui devront s'assurer que toutes les règles sont respectées et pouvoir fournir des preuves documentées. 

Assimiler un nouveau langage

Le renversement quasi-complet de l’ancienne directive, dont le langage était clair et précis, va engendrer une incertitude juridique lorsque la nouvelle réglementation commencera à s’appliquer.

La GDPR parle de légalité, équité et transparence dans le traitement des données personnelles, de mesures appropriées en termes de sécurité, d’intérêts légitimes, etc. Les parties prenantes, clients finaux, etc. sont également classifiés selon des termes spécifiques : Contrôleur pour la société utilisatrice finale, Processeur pour le fournisseur SaaS et Sujet pour les citoyens, salariés ou candidats.

Il faudra du temps aux différentes agences nationales et aux professionnels de la protection des données pour s'entendre sur l'interprétation de la nouvelle loi.

La GDPR en action

Les Contrôleurs doivent être prêts à fournir des informations détaillées sur le traitement des données collectées : celles-ci doivent être traitées uniquement à des fins spécifiques, explicites et légitimes, limitées à ce qui est adéquat, pertinent et nécessaire. Les données doivent être corrigées ou supprimées lorsqu'elles sont inexactes, stockées pendant une durée n'excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles sont collectées, protégées contre toute utilisation non autorisée, perte accidentelle, etc. Les Contrôleurs doivent pouvoir démontrer leur conformité à tous ces principes via une documentation appropriée et une analyse de risque.

De leur côté, les Processeurs, qui agissent au nom du Contrôleur, doivent maintenir la confidentialité des données, mettre en œuvre des mesures de sécurité appropriées, signaler les violations de données au Contrôleur, maintenir un registre des activités de traitement de données, obtenir l’autorisation écrite du Contrôleur pour utiliser des sous-processeurs, être directement responsable des sanctions, etc.

Les droits des individus ou personnes concernées, ont également été renforcés : droit à l'effacement des données, droit à l'oubli, droit à recevoir une copie de leurs données, etc. Leur consentement doit être donné gratuitement, à des fins définies en détail, avec un droit clairement informé de retirer ce consentement, etc. Ces règles s'étendent aux salariés ; les entreprises doivent donc les connaître pour adapter la façon dont elles traitent les données de leurs collaborateurs, et être prêtes à prouver leur conformité à la GDPR.

Non-conformité = mauvaise idée

Les sanctions en cas de non-conformité peuvent atteindre jusqu'à 4% du chiffre d'affaires annuel de l'entreprise, ou 20 millions d'euros. Mais attention, la GDPR ne s'applique pas seulement aux entreprises basées dans l’UE : toutes les entreprises, à partir du moment où elles proposent des biens ou services à des résidents européens, doivent se conformer à la GDPR et sont donc assujetties à ces sanctions.

Si, comme beaucoup d'entreprises, vous n'avez pas encore mesuré les impacts de la GDPR sur votre organisation, il est encore temps de le faire. Voici quelques conseils pour vous mettre en conformité dans les 10 mois qu’il vous reste :

  • Commencez par constituer une équipe dédiée GDPR, composée du Responsable de la Sécurité des SI, du Directeur de la Protection des Données (Data Protection Officer), du Directeur Juridique, du Directeur des Systèmes d'Information et du Directeur des Ressources Humaines. 
  • Ses missions : faire un audit des données et une analyse des risques, déployer un programme interne d'habilitation GDPR et définir une feuille de route.
  • Cette feuille de route doit aider à enclencher le processus et à identifier les lacunes dans vos systèmes. Elle doit vous permettre de gérer les risques et lancer les actions (audits internes, analyse de risques, cartographie des données personnelles, etc.) tout en documentant la conformité à la GDPR. 
  • Certifications: Pensez également à vérifier que vos fournisseurs d'applications SaaS ont une certification, comme l'ISO 27001, qui atteste qu'ils ont le système et les outils en place pour démontrer leur conformité à la nouvelle GDPR.

La moitié du temps est écoulée depuis l’adoption de la GDPR, et il reste moins d’un an pour se mettre en conformité. Même si la tâche peut sembler colossale, il n’est pas trop tard pour faire une excellente seconde mi-temps.