Pour gérer vos consentements :

[Tribune] RGPD: comment se mettre en posture de conformité pour 2018?

Publié par Céline Avignon, avocate le - mis à jour à

Céline Avignon, avocate au cabinet Alain Bensoussan Avocats Lexing, dresse un état des lieux un an après l'adoption du règlement général sur la protection des données et un an avant son entrée en vigueur effective.

Le 27 avril 2016 était adopté après de nombreuses discussions le règlement (2016/679) relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données. Ce texte, résultat d'un compromis européen entre pays à la conception parfois différente de la protection des données, laissait deux ans, jusqu'au 25 mai 2018, aux États et aux entreprises pour le mettre en oeuvre.

Résultat, un an après, selon une enquête Arondor Serda Lab, "55% des organisations ne savent pas que le RGPD (Règlement général sur la protection des données) entrera en vigueur en mai 2018 et qu'elles devront s'y conformer". Comme le dit la Présidente de la Cnil, Madame Isabelle Falque Pierrotin, dans une interview intitulée "Le temps presse" accordée pour Le Monde, le règlement s'appliquera dès le 25 mai 2018. "2017, c'est la cote d'alerte".

Du côté des États membres, la France devra modifier sa loi Informatique et libertés pour la faire coïncider avec le règlement. En effet, sans cette loi, le règlement ne pourra être appliqué. Là encore, le temps presse: ce projet devrait être adopté avant l'été, ce qui, compte tenu des échéances électorales à venir, semble ambitieux. Pour résumer, l'État a une pression pour élaborer un projet de loi nécessaire à l'application du RGPD et les entreprises doivent se préparer pour se mettre en conformité au RGPD, dont certaines dispositions renvoient au droit local non encore défini. Pour autant, les entreprises ne peuvent s'abriter derrière cet imbroglio juridique pour ne pas agir. Au contraire, elles doivent engager au plus vite une démarche de mise en conformité.

Il est important d'amorcer la mis en conformité

Tout le monde s'accorde à dire que ce qui compte est d'engager une démarche et de se mettre en posture pour 2018. À cet égard, la tâche est, selon les professionnels, constituée de plus ou moins d'étapes. C'est ainsi que la Cnil en relève 6, l'autorité de protection britannique 12 et la commission vie privée en Belgique, 13. Bien évidemment selon le niveau de conformité initiale de l'organisme, la route de la conformité au RGPD pourra être jalonnée de moins d'étapes, puisque certaines obligations de la loi de 1978 sont reprises à l'identique, ou presque, dans le RGPD. Alors comment s'y prendre et comment mettre à profit le temps restant jusqu'à 2018, étant précisé que la taille de l'organisme est indifférente s'agissant des obligations?

1. Une décision de la direction générale

La mise en conformité au RGPD entraîne un changement de paradigme. Là où, avant, le respect des obligations de la loi Informatique et libertés se résumait bien souvent pour la plupart des organismes à des déclarations auprès de la Cnil et des mentions avec une préoccupation de sécurité, les organismes doivent basculer dans le monde de la compliance Informatique et libertés. Ils doivent intégrer cette démarche de compliance et mettre en place des mécanismes pour la rendre effective.

Par conséquent, cette démarche doit être initiée par la direction générale et entraîner l'ensemble des services pour devenir une nouvelle culture d'entreprise.

2. La mise en place d'une organisation pour assurer la compliance

Pour assurer la compliance, il faut désigner un pilote. À cet égard, le RGPD impose, dans trois situations, la désignation d'un DPO ou délégué à la protection des données. Les organismes qui seront dans l'un des trois cas désignés par le règlement devront désigner un DPO. Ces cas sont:

- le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle;

- les activités de base du responsable du traitement ou du sous-traitant consistant en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

- les activités de base du responsable du traitement ou du sous-traitant consistant en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

Lorsque l'organisme n'est pas dans l'un de ces cas, il est néanmoins recommandé de désigner un DPO. À cet égard, le Groupe de l'article 29 effectue cette recommandation dans la mesure où cet acteur est l'acteur incontournable de la conformité. Il convient de noter que sous l'empire de la loi, les organismes qui ont désigné un Cil, globalement, parviennent à un niveau de conformité supérieur à ceux qui n'ont pas pris cette option. Néanmoins, le règlement à ce jour ne prévoit pas d'obligation absolue hors les cas prévus. En conséquence, la désignation d'un DPO même si elle est recommandée dans tous les cas, peut ne pas s'imposer.

En tout état de cause, les organismes pour répondre aux obligations du RGPD et notamment au principe d'accountability devront définir une organisation et désigner les personnes qui en leur sein veilleront à la conformité. Quelles soient DPO ou non, les personnes désignées devront être dotées de pouvoirs, de moyens et de budget leur permettant d'exécuter leurs missions. Par ailleurs, selon la taille de l'organisme, il pourra être opportun d'organiser un réseau du DPO. Il n'existe pas une organisation mais autant d'organisations que d'organismes, l'essentiel est que cette organisation soit déterminée au regard des spécificités desdits organismes. Ainsi, l'organisation devra tenir compte du caractère international de l'organisme ou du groupe, du degré de centralisation...

Il convient de noter que le règlement prévoit la possibilité pour les organismes d'externaliser cette mission auprès de prestataires tiers mais également de mutualiser le DPO au sein d'un groupe. À cet égard, les avocats, à l'instar de ce qu'il est possible de faire aujourd'hui pour les Cil, pourront dans le cadre d'un contrat remplir ces missions et ainsi accompagner les organismes dans leur politique de conformité.

3. Un état des lieux s'impose

Une fois l'organisation définie, il convient de réaliser un état des lieux pour établir un gap analysis (analyse d'écarts). À la suite de cette analyse, les zones de risque seront identifiées. À cet égard, plusieurs critères doivent présider à l'analyse de risque la qualité des données, la quantité, les traitements opérés (matching, scoring, rapprochement ...), la visibilité, les technologies utilisées, la sensibilité du métier.... Dans tous les cas, il sera nécessaire de remédier aux écarts, mais la démarche de mise en conformité consiste également à définir des priorités.

L'état des lieux doit être effectué par rapport à chacune des obligations mise à la charge du responsable de traitement par la loi informatique et libertés et le RGPD. À la suite de cet état des lieux et selon les priorités définies, la feuille de route de la mise en conformité pourra être établie avec ses actions et son calendrier.

Quelques exemples d'actions pour remédier à quelques écarts :

4. Se doter de politiques et de process

Pour répondre aux exigences du RGPD, l'organisme devra se doter de politiques et process. Cela devient une nécessité en raison du principe de responsabilité ou d'accountabilité. En effet, l'organisme, en cas de contrôle devra être à même de démontrer qu'il a mis en oeuvre les process, politiques et mesures organisationnelles pour respecter les RGPD. Avec la nouvelle ère du RGPD, il conviendra en effet, de mettre en place des process pour de prévoir les risques, les gérer et les contrôler.

Un bon exemple peut être fourni avec la démarche de monitoring des zones commentaires. En matière de gestion de la relation client, un risque de non-conformité Informatique et libertés a été identifié. Il est lié à l'existence des zones commentaires libres. Le risque se concrétise lorsque les commentaires saisis sont excessifs, inadaptés où font apparaître des données sensibles comme des données de santé ou de religion.

Dans une démarche de gestion des risques, les organismes doivent pouvoir prouver qu'ils ont mis en oeuvre un process de contrôle. À cet égard, la bonne démarche consiste à mettre en oeuvre:

- un process de monitoring et de filtrage consistant à remplacer a priori ou a posteriori les mots interdits;

- un dictionnaire de mots interdits;

- un outil d'analyse sémantique qui fonctionne sur la base d'un dictionnaire et un outil d'administration de l'outil d'analyse;

- une traçabilité pour faciliter la sensibilisation et la formation des utilisateurs.

Ces outils ne représentent que des exemples de ceux qui devraient être déployés mais donnent une bonne idée de ce que le règlement va demander aux organismes et de ce que contrôlera l'autorité de contrôle. Bien évidemment, les organismes devront accompagner ces outils d'audits réguliers ainsi que d'actions de sensibilisation et de formation afin de responsabiliser leurs utilisateurs.

5. Adoption d'une démarche de provacy by design et de security by default

Si l'accountabilité requiert des process et des politiques internes, le règlement impose également deux démarches modifiant le pilotage des projets au sein des organismes. Par la première, privacy by design, le règlement impose aux organismes de concevoir leurs projets en intégrant les fonctions, prérequis Informatique et libertés dès l'origine. À ce titre, les organismes qui développent en interne des outils devront définir lesdits prérequis à respecter afin que les outils développés permettent à l'entreprise d'être en conformité avec le règlement européen. À cet effet, on ne peut qu'encourager les organismes à définir les spécifications Informatique et libertés que devront respecter les développeurs. Lorsque le projet repose sur un outil du marché, les organismes devront s'assurer qu'il répond auxdites spécifications en les exigeant ou les faisant développer après avoir sélectionné le produit.

À un peu plus d'un an de l'échéance, les organismes qui n'ont pas encore lancé une démarche de mise en conformité au règlement doivent se lancer. Ils doivent adopter une posture de conformité au règlement. Pour cela, en fonction des organismes, la tâche sera variable mais il importe de se lancer dès maintenant. Cela s'impose d'autant plus que les sanctions seront particulièrement élevées et que les autorités de contrôle seront amenées à examiner les mesures prises par les organismes pour apprécier leur responsabilité dans le cadre d'une procédure de sanction.

L'experte:
Céline Avignon est avocate à la Cour d'appel de Paris depuis 2005, et a rejoint le cabinet Alain Bensoussan Avocats Lexing en 2000. Céline Avignon dirige le département publicité et marketing électronique du cabinet.

Pour aller plus loin:

Gestion des données personnelles: seulement 18 mois pour se mettre en conformité