Loi sur la protection des données personnelles : contrainte ou opportunité ?
Olivier Chotin
Olivier Chotin
Applicable dès le 25 mai 2018, soit dans moins d'un an, le GDPR, Règlement Général européen de Protection des Données personnelles, s'inscrit dans le prolongement de la loi Informatique et Liberté française. Il élargit les droits des Citoyens sur la gestion de leurs données personnelles :
Le GDPR oblige l'Entreprise à satisfaire les nouveaux droits des citoyens décrits précédemment, mais également à mettre en œuvre des actions qui garantissent la bonne application des principes de gestion efficiente des données personnelles, y compris les moyens de contrôle et surveillance :
Des actions d'organisation, notamment la nomination d'un Data Protection Officer (art. 37), chargé de mettre en œuvre la conformité au GDPR.
Un principe de responsabilisation du responsable des traitements et de ses sous-traitants (art. 24) et des actions pour démontrer que les traitements respectent le GDPR, et faire appliquer des directives et contrôles, notamment la tenue d'un Registre des traitements (art. 30) qui recense de manière précise les activités et actions ou événements concernant les données personnelles.
Une approche méthodologique permettant la mise en place dès la conception du respect du GDPR (Privacy by Design, art. 25) et la mise en place des seuls traitements nécessaires (Privacy by default).
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

La mise en œuvre d'analyses de risques, au travers notamment d'analyse d'impact (DPIA - Data Protection Impact Analysis, art. 34), afin d'évaluer les risques de toute activité ayant un impact potentiel important sur la protection des données personnelles.
La mise en œuvre de mesures de sécurité (art 32), afin de garantir la sécurité du traitement (cryptage, anonymisation, confidentialité, intégrité, restriction de partage et d'utilisation des données), ainsi que le test, l'analyse et l'évaluation régulière de l'efficacité des mesures de sécurité.
La notification d'incidents de sécurité « Data Breach Notification » (art. 33 et 34) auprès de l'autorité de contrôle compétente et des personnes concernées.
Le GDPR a un impact majeur sur tout le cycle de vie des données à caractère personnel.
Ceci nécessite donc de renforcer en particulier la gouvernance des données et de parfaitement maîtriser les processus Métiers et les données associées.
De manière plus générale, l'impact de la GDPR est majeur, et nécessite de mettre en œuvre une approche globale de transformation sur les 8 axes :
Il s'agit de définir une stratégie Data et de création de valeur respectant le GDPR, par la collecte et la valorisation des données dans le cadre d'une finalité claire et transparente (approche Data Centric).
Une gouvernance, portée par le top management est indispensable, afin de donner la bonne direction à toute l'entreprise, et s'assurer une surveillance optimale de la mise en œuvre.
Cette démarche sera initiée par la définition de principes et directives liés au GDPR, un code de conduite sur la gestion des données personnelles, une sensibilisation de tous les acteurs et leur implication dès le début dans la conduite du changement de culture.
Cette démarche globale de transformation doit être assurée et coordonnée par le DPO. L'implication du ou des Responsables des traitements et autres acteurs clés doit être garantie (juridique, RSSI, responsables processus Métiers, ...).
Elle impose une définition claire de leurs rôles et missions, de leur positionnement et de leurs responsabilités, au travers d'un véritable management collaboratif, afin de garantir une cohérence et une complémentarité des acteurs.
Leur montée en compétence doit être assurée au travers de formations et d'accompagnements.
La conformité au GDPR commence par la maîtrise des processus Métiers, idéalement pilotés par des responsables de processus.
La mise en œuvre d'un registre des traitements et la réalisation de DPIA sur les traitements sensibles assureront une maîtrise des risques ainsi qu'une transparence vis-à-vis de la CNIL.
L'intégration dès la conception des processus et traitements, des contrôles d'accès, des règles de sécurité, et des règles GDPR (Privacy by Design, Security by Design) sera réalisée en conformité avec les directives et codes de conduite relatifs au traitement des données personnelles.
La réflexion couvrira également l'intégration des données personnelles, gérées par le nouveau processus ou traitement, dans les activités et applications de gestion des droits des citoyens.
L'ensemble des activités relatives au GDPR est à définir et déployer, que ce soit la gestion des droits par le citoyen (consultation, effacement, transfert) que le pilotage opérationnel de la démarche au sein de l'Entreprise (suivi des activités GDPR et gestion des risques, revues, audits et contrôles, suivi de sous-traitants, reporting, communication, gestion des alertes, ...).
Une cartographie générale des données personnelles, leur structuration et modalités de stockage garantira une mise en œuvre de processus Métiers et traitements cohérents entre eux.
L'information interne couvre la communication, ainsi que les indicateurs de suivi et de pilotage du projet GDPR dans l'Entreprise.
L'information externe s'adresse aux citoyens sur leurs droits et données personnelles gérées par l'Entreprise et les incidents, et s'adresse également aux autorités compétentes (CNIL).
L'architecture du SI de l'Entreprise doit permettre l'intégration des exigences du GDPR. Une architecture Data Centric facilitera cette adaptation.
D'autre part le développement d'applications est indispensable pour gérer de manière optimale la gestion de la relation avec les citoyens et de leurs droits (information, modification, transfert, effacement, ...). Le risque majeur est un afflux de demandes, en particulier une concentration au début, et une impossibilité pour l'Entreprise de répondre dans les délais.
L'utilisation d'outils, dont de nombreux restent à développer, doit faciliter la réalisation d'audits techniques automatisés (audit de code, test d'applications Web ou smartphone, ...).
Une forte implication du directeur juridique et de son équipe est nécessaire pour coordonner, contrôler et valider au niveau juridique les actions liées au GDPR et les contrats avec les partenaires et sous-traitants.
Une veille juridique est indispensable, renforcée par l'accompagnement d'un juriste spécialisé externe, notamment au démarrage.
Le législateur européen aurait pu se contenter de définir les droits des citoyens en matière de données personnelles et les sanctions pour les Entreprises qui n'appliquent pas ces obligations.
Il a bien compris que le succès de l'application de ce règlement passait par la mise en œuvre de sanctions importantes, mais aussi par la forte incitation à mettre en œuvre des bonnes pratiques de gouvernance et de management des données personnelles, qui s'appliquent tout naturellement également aux autres données gérées.
Dans ce cadre, il a formalisé en articles la mise en œuvre obligatoire de ces bonnes pratiques afin de garantir une maturité minimale des Entreprises. Ces bonnes pratiques visent à :
Ainsi, dans le cadre d'une généralisation des approches « Data Centric », ces bonnes pratiques deviennent des piliers de la transformation digitale des Entreprises :
Au final, cette approche contribuera activement à la création de valeur durable pour l'Entreprise :
Olivier Chotin