Le RGPD en pratique et bien outillé

Ce n’est pas une révolution, mais une évolution de la loi informatique et liberté de 1978”. C’est ainsi que Pascal Alix, avocat au barreau de Paris et correspondant informatique et libertés, définit le fameux RGPD (Règlement général sur la protection des données) qui entrera en vigueur le 25 mai.

Révolution ou évolution, toujours est-il que le RGPD est un vrai bouleversement pour les entreprises et les administrations, qui doivent se mettre en conformité avec cette nouvelle réglementation européenne sous peine de lourdes sanctions.

Les étapes de mise en conformité définies par la Cnil

Pour ce faire, la Cnil (Commission nationale informatique et liberté) a défini 6 étapes :

  1. Désigner un pilote, au sein de l’entreprise, qui gérera le projet de mise en conformité, éventuellement un DPO (Data Protection Officer).
  2. Cartographier les données : l’entreprise doit recenser de façon très précise ses traitements de données personnelles en établissant un registre des activités de traitement.
  3. Prioriser les actions à mener sur la base de ce registre. Cette priorisation doit s’effectuer au regard des risques que font peser les traitements de données sur les droits et les libertés des personnes concernées;
  4. Gérer les risques en menant une ou plusieurs analyses d’impact sur la protection des données
  5. Organiser la mise en conformité grâce à des processus internes.
  6. Documenter la conformité pour la prouver. Pour ce faire, il faut constituer une documentation exhaustive.

Ces étapes peuvent être effectuées en même temps, elles ne sont pas chronologiques.

Former une équipe pour entrer en conformité avec le RGPD

Pour documenter ces procédures et réaliser un audit, l’entreprise aura besoin de constituer une équipe de personnes clés et de mener des interviews. Elle peut être constituée de responsables métiers, de chefs de projets ou tout simplement du personnel ayant accès à l’ensemble des données traitées.

L’entreprise déterminera, ainsi, les bases légales des traitements de l’information et pourra réviser la documentation qui l’encadre, voire la produire au cas où elle n’existe pas.

C’est à partir de là que l’entreprise doit effectuer diverses analyses pour cartographier les traitement et localiser les données.

S’appuyer sur des outils pour faciliter sa mise en conformité

Cette démarche, indispensable, est cependant insuffisante. Pour mener à bien sa mise en conformité avec le RGPD, l’entreprise doit s’outiller et s’appuyer sur des logiciels comme everteam.discover. Cette solution vous permet d’effectuer différentes actions indispensables :

  • Assainir et nettoyer votre système d’information (pourquoi conserver des informations devenues obsolètes ou inutiles ?) ;
  • Identifier les informations contenant des données personnelles ;
  • Préserver et sécuriser ses données ;
  • Simplifier les recherches des ayants droits concernant l’accès, la mise à jour ou la destruction de leurs données personnelles.

De tels outils permettent d’automatiser certaines actions et, donc, de gagner un temps précieux. En identifiant automatiquement les documents contenant des données personnelles, ils vous accompagnent dans les démarches que vous devez mener afin de faciliter votre mise en conformité avec le RGPD. Par exemple, si un citoyen fait valoir son droit à l’oubli, l’outil vous aidera à retrouver aisément tous les documents le concernant.

Plus largement, ces outils permettent de bénéficier d’une vision globale de l’ensemble, souvent gigantesque, des contenus stockés par une entreprise. Celle-ci peut alors véritablement mettre en place une démarche plus large de mise sous gouvernance de son patrimoine informationnel, souvent partiellement géré, et transformer le RGPD en une opportunité de reprendre le contrôle sur ses données.

Avez-vous trouvé le contenu de cet article intéressant ? N’hésitez pas à visionner le replay du webinar « Le RGPD en pratique et bien outillé » animé par Pascal Alix (Avocat à la Cour & Expert RGPD chez Cabinet Virtualegis) et Noureddine Lamriri (VP Product Management & Expert de la gouvernance de l’information chez Everteam).

 

Le RGPD démystifié : découvrez toutes les réponses de notre quiz vrai / faux !

RGPD, NOUS Y VOILA !

 

Ces dernières semaines, nous vous avons proposé une série de questions Vrai ou Faux sur le thème du RGPD. Suite à son entrée en vigueur le 25 mai, nous vous proposons aujourd’hui un récapitulatif de toutes les questions ainsi que leurs réponses. Ensemble, démystifions le RGPD.

 

1. RGPD : Le DPO est-il obligatoire ?

Oui… et non ! Tout à la fois juriste, pédagogue, informaticien et porte-parole, le DPO (Data Protection Officer) est en entreprise le garant de l’application du RGPD, qui entrera en application dans quelques semaines — le 25 mai pour être exact. Mais il n’est pas obligatoire pour tout le monde ! En savoir plus

2. Je ne suis pas concerné par le recrutement d’un DPO. Le RGPD ne me concerne donc pas !

FAUX ! Dès lors que votre activité vous amène à traiter un certain volume de données personnelles, l’application du RGPD (Règlement Général sur la Protection des Données) est obligatoire dans votre structure. Et ce, que vous soyez concerné ou non par le recrutement d’un DPO. Voyons cela en détails ! En savoir plus

3. RGPD : Lors des premiers contrôles, la CNIL sera clémente

VRAI, mais… d’une part, cela ne durera pas et ne concernera pas toutes les dispositions du texte, et d’autre part, la clémence de la CNIL dépendra aussi de la volonté montrée par l’entreprise contrôlée de respecter le RGPD ! Explications. En savoir plus

4. Les Drives suffisent pour être en conformité avec le RGPD

FAUX. Les Drives sont certes pratiques, mais ils n’offrent pas tous les outils nécessaires à une gouvernance de l’information sereine, conforme aux exigences du RGPD. D’autres outils sont nécessaires pour respecter, dès le 25 mai, ce texte capital s’agissant de l’exploitation en Europe des données personnelles. En savoir plus

5. RGPD : Mon DPO doit être interne à mon entreprise.

FAUX ! Le Délégué à la Protection des Données, ou DPO, peut être interne à l’entreprise, comme externe. Les deux solutions présentent des avantages et des inconvénients. Everteam fait le bilan ! En savoir plus

6. Grâce au RGPD, je peux disparaître de la circulation

FAUX ! Celle-ci était facile, ça serait trop beau : le RGPD n’a pas été pensé pour permettre à un particulier de disparaître des bases de données des impôts, de sa banque, des organismes auprès desquels il a contracté un crédit, ou encore des diverses entreprises auxquelles il doit de l’argent. Le RGPD peut, en revanche, l’aider à reprendre le contrôle sur ses données. Faisons le point ! En savoir plus

7. RGPD : En cas de contrôle, le registre est indispensable

VRAI ! Le registre des activités de traitement est l’une des pièces principales que demandera la CNIL (ou tout autre organisme européen) dans le cas d’un contrôle de l’utilisation des données personnelles. Mais il n’est pas le seul document à fournir, loin de là. Décryptage. En savoir plus

8. C’est le DPO et lui seul qui assure la conformité au RGPD

FAUX ! Le respect du RGPD est un travail d’équipe, qui concerne autant le DPO que les collaborateurs, la DSI et les avocats. Voici comment fonctionne cette « dream team » de la bonne gestion des données personnelles… En savoir plus

Si vous souhaitez en savoir davantage sur le RGPD, téléchargez gratuitement  « Le guide du DPO prêt à l’action ».

Grâce au RGPD, je peux disparaître de la circulation

FAUX ! Celle-ci était facile, ça serait trop beau : le RGPD n’a pas été pensé pour permettre à un particulier de disparaître des bases de données des impôts, de sa banque, des organismes auprès desquels il a contracté un crédit, ou encore des diverses entreprises auxquelles il doit de l’argent. Le RGPD peut, en revanche, l’aider à reprendre le contrôle sur ses données. Faisons le point !

C’est quoi, les données personnelles ?

Commençons par bien définir ce dont nous allons parler dans cette réponse à notre quiz. Les données personnelles au sens du RGPD ont été clairement définies par l’Union européenne. Il s’agit en effet de toutes les informations concernant une personne physique, qui permettent de l’identifier formellement. Par exemple : le nom et le prénom bien sûr, mais aussi l’adresse IP, le numéro d’immatriculation, le numéro de téléphone (fixe ou portable), les photographies, les données issues des réseaux sociaux, l’adresse postale… jusqu’à l’ADN !

Des droits renforcés pour les consommateurs

Le RGPD, qui entrera en application le 25 mai prochain, s’apprête à renforcer largement les droits accordés aux consommateurs en matière de maîtrise des données personnelles. Ils auront ainsi :

  • Le droit à la portabilité des données personnelles. Tout consommateur pourra ainsi récupérer les données communiquées à une entreprise sous un format facilement lisible (typiquement, un .doc ou un PDF), pour pouvoir les réutiliser à sa guise ;
  • Le droit à l’information. Tout consommateur pourra ainsi connaître les utilisations faites de ses données et, le cas échéant, s’y opposer ;
  • Le droit à l’effacement. Tout consommateur pourra demander que les données qui le concernent soient effacées de la « mémoire » de l’entreprise. À l’exception, bien sûr, de celles qui permettent la bonne exécution d’un contrat en cours !

Ajoutons à cette liste de droits que, désormais, les entreprises devront s’assurer que les parents des mineurs de moins de 16 ans ont bien donné leur accord avant que ces derniers ne s’inscrivent à un service en ligne. Et ce, qu’il s’agisse d’un réseau social, d’un jeu, d’une plateforme de révision…

Plus de 8 consommateurs sur 10 ont l’intention de faire valoir leurs droits

Reste une question : les consommateurs sont-ils prêts à faire valoir leurs nouveaux droits ? Et, de fait, à quel point faut-il prêt dès le 25 mai, au-delà des sanctions éventuelles que pourrait prononcer la CNIL ?

Une étude réalisée par Pegasystems dans 7 pays européens (Royaume-Uni, France, Allemagne, Espagne, Suède, Italie, Pays-Bas) semble démontrer que les consommateurs sont réellement intéressés par la possibilité d’interroger les entreprises qui détiennent leurs données personnelles. 82 % des Européens y pensent. En France, 96 % des clients interrogés souhaitent savoir quelles informations les concernant sont détenues par les entreprises qui ont, un jour ou l’autre, collecté des données personnelles. Ils sont 93 % à « vouloir pouvoir décider directement de la façon dont ces informations sont utilisées ». Seule ombre au tableau, seuls 17 % des sondés « savent exactement en quoi consiste le RGPD et ce que cela va leur permettre de faire ». Ce qui laisse un peu de temps pour se préparer !

Le RGPD est une révolution en matière de protection des données personnelles. Pour le respecter, le DPO est obligatoire dans certains cas. Ça tombe bien : nous vous avons préparé un Guide du DPO prêt à l’action, à mettre entre toutes les mains !

Mon DPO doit être interne à mon entreprise.

FAUX ! Le Délégué à la Protection des Données, ou DPO, peut être interne à l’entreprise, comme externe. Les deux solutions présentent des avantages et des inconvénients. Everteam fait le bilan !

Le DPO interne : la prime à la réactivité

Commençons par la solution qui semble la plus logique : embaucher un DPO, qui deviendra un salarié « comme les autres ». Le principal avantage du DPO interne ? Sa parfaite connaissance des rouages de son entreprise. Elle l’aidera à réagir immédiatement en cas de sollicitation, que ce soit de la part d’un consommateur ou d’un organisme de contrôle. Informé à la source, il pourra mener plus rapidement des actions correctrices. Et sensibiliser, en continu, les collaborateurs à la nécessité de respecter les impératifs dictés par la nouvelle bible de la gestion des données personnelles, le RGPD.

Bien sûr, tout n’est pas rose s’agissant de l’embauche d’un DPO. Quelques inconvénients sont à noter. D’abord, un tel profil, un peu « mouton à cinq pattes », tout autant technicien que juriste, peut coûter assez chez en salaire. Ensuite, il ne peut exercer sa mission à temps partiel, puisqu’il sera continuellement sous pression… et en situation de risque de conflit d’intérêt chronique. Enfin, il peut lui être difficile de démontrer son indépendance, notamment en cas de contrôle, dans une petite structure où tout le monde connaît tout le monde !

Le DPO externe : la prime à la flexibilité

Vous envisagez de confier la mission de DPO à un prestataire extérieur ? Vous n’avez pas tort : la solution présente de nombreux avantages. Tout d’abord, il sera par nature indépendant, puisque non-rattaché hiérarchiquement à quelqu’un dans l’entreprise. Il sera disponible immédiatement, sans besoin de formation. Son expertise vous sera assurée, par ses expériences passées et les diverses recommandations que vous pourrez trouver – et, si besoin, il pourra être facilement remplacé. Enfin, il sera disponible quand vous en avez besoin, ce qui vous assure de ne le payer que pour des tâches effectivement réalisées.

Comme pour le DPO interne, quelques inconvénients sont en revanche à noter :

  • Il ne connaîtra pas parfaitement votre entreprise, ses process et ses rouages ;
  • Il coûtera plus cher à l’heure, même si son coût global sera moins élevé que celui d’un DPO interne (qui « coûte » son salaire plus les charges sociales et patronales) ;
  • Rien ne vous assure, à part ses promesses, qu’il répondra rapidement en cas de sollicitation.

Comment choisir ?

L’externalisation présentera de nombreux avantages pour la majorité des PME, qui rechercheront un professionnel disponible pour des missions précises et des moments bien identifiés. Et qui apprécieront de ne pas devoir embaucher un salarié supplémentaire.

Du côté des grands groupes, cela sera sans doute moins vrai. Le DPO y sera employé à sa tâche à plein temps. Il pourra même gérer une équipe entièrement dédiée à cette mission. Et il sera celui qui assure à la direction de ne pas voir un scandale lié au traitement des données personnelles, éclater au pire moment…

La question du DPO interne ou externe est importante. Prenez le temps de bien y réfléchir, et, au besoin, faites-vous conseiller !

Les Drives suffisent pour être en conformité avec le RGPD

FAUX. Les Drives sont certes pratiques, mais ils n’offrent pas tous les outils nécessaires à une gouvernance de l’information sereine, conforme aux exigences du RGPD. D’autres outils sont nécessaires pour respecter, dès le 25 mai, ce texte capital s’agissant de l’exploitation en Europe des données personnelles.

Les Drives, une solution insuffisante

Les Drives (Google Drive, Microsoft OneDrive et autres Dropbox) sont des outils pratiques pour le stockage des données. Mais ils ne permettent pas d’en faire plus, en particulier à un moment où un texte important comme le RGPD va entrer en application.

Cette nouvelle loi européenne va en effet accorder de nouveaux droits aux particuliers :

  • Le droit d’accès aux données ;
  • Le droit d’être informé sur le traitement des données utilisées ;
  • Le droit de rectification ;
  • Le droit d’opposition ;
  • Le droit de portabilité des données, dans certains cas (nous en reparlerons !) ;
  • Le droit à l’oubli.

Certes, tous ne sont pas nouveaux. Certains étaient déjà inscrits dans la loi informatique et libertés de 1978. Ceux qui existaient déjà sont néanmoins renforcés, réaffirmés et harmonisés au niveau européen. Et si les Drives n’étaient déjà pas suffisants pour les respecter, ils ne le seront pas plus avec le RGPD !

Des outils à la disposition des DPO

Dans une TPE, une PME ou un grand groupe, il est donc capital d’adopter de nouveaux outils pour respecter le RGPD. Il s’agit notamment des logiciels automatisés de gestion des données personnelles. Ceux-ci permettent :

  • de lister les traitements automatisés ;
  • de créer une base documentaire mise à jour en temps réel ;
  • d’identifier là où se trouvent les données sensibles dans les ensembles non-structurés comme structurés, pour y accéder plus facilement et mener les éventuelles opérations correctrices ;
  • de cartographier l’ensemble des traitements ;
  • de tenir le registre des traitements ;
  • d’éditer un bilan annuel, à mettre à disposition de la CNIL en cas de contrôle ;
  • de gérer l’ensemble des tâches demandées par les consommateurs, en lien avec les droits évoqués ci-dessus.

La CNIL propose ainsi l’outil PIA, qui permet de faire un premier pas dans la gestion des données dans le respect du RGPD. À tester !

Et pour aller plus loin, notamment si vous devez embaucher un DPO ? Vous pouvez, dans ce cas, vous tourner vers un outil de File Analysis, comme ceux que propose Everteam. Combinant des fonctions de NLP (Naturel Language Processing), d’auto-classification, d’archivage et de gouvernance de l’information, ils permettent d’accéder plus vite et plus précisément aux données suite, par exemple, à une sollicitation de consommateurs. Ils proposent ainsi une indexation automatique des caractéristiques techniques des fichiers, une analyse du contenu des documents en vue d’une identification automatique des données personnelles, un renforcement des mesures de prévention des risques, une réalisation automatique d’actions préconfigurées… Bref, tout ce qu’il faut pour montrer à la CNIL que l’on est bien dans la bonne direction, celle d’un respect complet du RGPD !

Vous souhaitez en savoir plus sur les outils à disposition du RGPD ? Deux solutions : téléchargez notre Guide du DPO prêt à l’action, ou contactez les équipes d’Everteam !

Lors des premiers contrôles, la CNIL sera clémente

VRAI, mais… d’une part, cela ne durera pas et ne concernera pas toutes les dispositions du texte, et d’autre part, la clémence de la CNIL dépendra aussi de la volonté montrée par l’entreprise contrôlée de respecter le RGPD ! Explications.

Une clémence réelle, mais aussi relative

Le Règlement Général sur la Protection des Données entrera en application le 25 mai prochain. Il semble illusoire de penser que, d’ici là, toutes les entreprises concernées par le RGPD seront prêtes, avec un DPO en place si elles doivent en embaucher un, ainsi qu’un registre des activités de traitement sur les rails. « Tout le monde ne sera pas forcément conforme le 25 mai, l’essentiel est d’avoir pris conscience et de s’engager dans cette démarche de conformité », indique ainsi Jean Lessi, le secrétaire général de la CNIL, au magazine en ligne Solutions Numériques.

Si la CNIL semble s’engager sur la voie de la clémence, celle-ci ne sera que relative : les obligations auxquelles les entreprises doivent faire face depuis la loi Informatiques et Libertés continueront à être strictement contrôlées par l’organisme de contrôle. En revanche, celles qui concernent des obligations nouvelles, comme la portabilité ou la notification de violation de données, feront plus l’objet d’un accompagnement que d’une sanction immédiate. « [La CNIL est] consciente de la nouveauté des obligations, [et] va intégrer la nécessaire courbe d’apprentissage dans sa politique répressive », explique le responsable. Ainsi, « dans les premiers mois » et sauf en cas « de manquements manifestes et graves », les sanctions prononcées à la suite d’infractions aux nouvelles dispositions intégrées dans le RGPD devraient être assez rares, sinon exceptionnelles.

La CNIL semble donc prendre la voie de l’apaisement et de la pédagogie, bien consciente que toutes les entreprises ne peuvent être prêtes le 25 mai. « Il y a une prise de conscience tardive des obligations en matière de traitement de données personnelles, mais l’essentiel, c’est cette possibilité pour les citoyens, professionnels, petits et grands acteurs, de monter en compétence, en maturité. »

Un problème d’effectifs pour la CNIL ?

La CNIL compte sur cette prise de conscience des impératifs liés au RGPD pour que les données personnelles soient « rendues » aux citoyens. Elle se heurte aussi à un réel problème d’effectifs : ceux-ci n’ont pas bougé depuis plusieurs années, et restent aux alentours de 200 personnes. Imaginer que la CNIL contrôlera tout le monde dès le mois de juin est irréel, d’autant qu’elle n’a pu répondre à toutes les demandes liées aux diverses réglementations nouvelles (en 2017, selon les chiffres officiels, la CNIL a reçu 170 000 appels à sa permanence juridique, 15 000 requêtes sur son outil en ligne et 4,4 millions de visites sur le site, une augmentation de 1,8 million par rapport à l’année précédente).

Pour y remédier et accélérer le respect du RGPD, la CNIL va muscler l’accompagnement qu’elle propose en ligne. FAQ, outils de diagnostics en ligne, packs sectoriels, offres de conseils et d’informations… tous ces dispositifs doivent être renforcés dans les prochaines semaines. À surveiller !

Vous voulez mettre toutes les chances de votre côté de respecter les impératifs du RGPD, en prévision d’éventuels contrôles opérés par la CNIL ou par tout autre organisme de contrôle européen ? Téléchargez notre Guide du DPO prêt à l’action !

Je ne suis pas concerné par le recrutement d’un DPO. Le RGPD ne me concerne donc pas !

FAUX ! Dès lors que votre activité vous amène à traiter un certain volume de données personnelles, l’application du RGPD (Règlement Général sur la Protection des Données) est obligatoire dans votre structure. Et ce, que vous soyez concerné ou non par le recrutement d’un DPO. Voyons cela en détails !

Les entreprises concernées par le RGPD

Les textes du RGPD s’appliquent, selon la loi, « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». Ils concernent les entreprises :

  • Qui possèdent un établissement installé au sein de l’Union européenne ;
  • Et/ou qui proposent une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l’Union européenne. Ce qui implique l’ensemble des actions de profilage visant cette cible !

De fait, le RGPD ne prévoit pas de critères de taille d’entreprise ou de secteur d’activité. Pas plus qu’il n’aborde la question du lieu de stockage des données. Ainsi, en principe, toute entreprise qui cible, par ses activités commerciales ou prospectives, le territoire de l’Union européenne et effectue des traitements de données à caractère personnel est concernée par l’application du RGPD. C’est une petite révolution par rapport à la loi Informatique et libertés : celle-ci se basait sur des critères d’établissement et de moyens de traitement pour définir si une entreprise était ou non concernée. Avec le RGPD, c’est la fin (le traitement des données d’un citoyen d’un pays membre de l’UE) qui justifie les moyens !

Un allègement pour les PME

Vous êtes une PME, et les textes du RGPD vous font un peu peur ? C’est compréhensible : ce texte prévoit de lourdes amendes pour les entreprises qui ne prendraient pas toutes les précautions pour garantir aux citoyens de l’Union européennes qu’ils pourront, à tout moment, reprendre le contrôle sur leurs données personnelles.

Une bonne nouvelle toutefois : si le respect du RGPD est obligatoire pour toutes les entreprises qui exploitent des données personnelles, quelle que soit leur taille, le texte prévoit un réel allégement des obligations pour les structures qui comptent moins de 250 salariés. Cet allégement concerne l’obligation de tenue d’un registre des activités de traitement. Celle-ci n’est ainsi pas obligatoire pour « une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ».

Vous pensez pouvoir rentrer dans cet allègement ? Un conseil : vérifiez-le auprès d’un avocat spécialisé en protection des données personnelles. Mieux vaut prévenir que guérir !

L’application du RGPD, c’est dans quelques semaines ! Vous souhaitez vous préparer ? Téléchargez notre Guide du DPO prêt à l’action !

Le RGPD, pour un archivage renouvelé !

Le Règlement général sur la protection des données, qui entrera en vigueur en mai 2018, impose de repenser totalement la façon dont on archive les données. Le premier impératif ? Ne plus confondre l’archivage, qui offre des fonctionnalités supplémentaires, et la simple sauvegarde, qui se contente de « fixer » dans le temps des informations ! Mais que doivent permettre les outils d’archivage à l’heure du RGPD ? Everteam fait le point !

Avec un Drive, c’est possible ?

Répondons immédiatement à cette question « basique ». Non, on ne peut pas faire de la gouvernance de l’information avec Google Drive, Microsoft OneDrive ou encore Dropbox, et encore moins à l’heure du RGPD. Ces outils souffrent en effet de ne pas permettre un tri dynamique dans les données, d’être limités en interopérabilité, de ne pas prendre en compte toutes les sources d’information, de ne pas permettre de maîtriser les coûts, ou encore de ne pas sécuriser les informations. Autant de caractéristiques qui les excluent, de fait, de l’esprit du RGPD…

C’est quoi, l’archivage à l’heure du RGPD ?

Nous l’avons dit : le RGPD offre (ou réaffirme) aux consommateurs de nouveaux droits en matière de données personnelles. Ainsi, ils peuvent consulter celles dont disposent les acteurs économiques ou institutionnels à leur sujet, les modifier, les transférer, les supprimer… Le tout, sans justification, et dans un délai raisonnable !

Autant dire que la gestion du capital informationnel devient un enjeu majeur pour les entreprises concernées par ces demandes. Un outil d’archivage digne de ce nom doit en effet permettre :

  • La gestion de tout type de contenu, indépendamment de sa nature (fichier ou donnée) ou de son support (physique ou électronique) ;
  • De retrouver dans les meilleurs délais une information demandée par un consommateur ou par un organisme de contrôle (comme la CNIL) ;
  • D’anticiper tout changement dans le système d’information, que ce soit s’agissant de l’intégration ou de la sécurité ;
  • D’être un garant du respect du cadre réglementaire, normatif ou législatif ;
  • De proposer un système de recherche unifiée ;
  • De proposer un téléchargement aisé des archives ;
  • D’archiver automatiquement des flux de données et de documents issus du système d’information…

Une valeur ajoutée pour les données exploitées

L’archivage devient ainsi, à l’époque du RGPD, plus qu’une solution de stockage. Il permet de renouveler la confiance accordée par les consommateurs aux entreprises et aux institutions. Il offre aux données de ces dernières des solutions de gouvernance de l’information plus poussées, donnant une nouvelle valeur ajoutée aux données exploitées.

Ainsi, l’archivage doit permettre d’analyser et de nettoyer les file sharing. De repérer les documents les plus engageants. De réduire les délais, coûts et risques en matière de migration. De maîtriser le capital informationnel. Bref, de faire « plus » et « mieux » !

Les solutions d’archivage compatibles avec le RGPD permettent à la fois de respecter les obligations nouvelles nées de ce texte européen, mais aussi de donner une nouvelle valeur aux données exploitées. De quoi aborder avec sérénité l’application du RGPD !

La destruction des données, clé de voûte du RGPD

Les données ont longtemps été considérées comme un nouvel « or noir ». Bien exploitées, elles permettaient aux entreprises de trouver de nouvelles cibles pour leurs produits et/ou leurs services, de mieux vendre et de mieux s’adapter aux attentes de leurs marchés. Sauf qu’avec le RGPD, le « rapport de force » s’inverse : ce sont les consommateurs qui reprennent le contrôle des informations qu’ils laissent à la disposition des acteurs économiques, associatifs et institutionnels. Ce qui implique que de nouveaux outils doivent être utilisés, permettant notamment un meilleur accès aux données et une destruction plus aisée. Décryptage.

La fin de la donnée éternelle

Certes, cela paraît déjà lointain, mais fut un temps où les données étaient stockées sur un support papier, et conservées dans de grands classeurs, eux-mêmes rangés sur des étagères. À cette époque, la question de la destruction des données ne se posait pas vraiment : à un moment ou à un autre, elles passaient à la déchiqueteuse, en général lorsqu’il fallait de la place et que l’on était certain que l’on en n’aurait plus besoin. Avec l’avènement du stockage numérique, les choses ont changé : le réflexe de tout stocker s’est petit à petit imposé. Et ce, sans date limite.

Avec le RGPD, ce genre de pratique appartient désormais au passé. Ce texte, applicable dès le 25 mai 2018, oblige les acteurs économiques et institutionnels à déterminer une durée de stockage des données. Chaque document, chaque information, chaque élément sur tel ou tel consommateur, doivent « disparaître », à une date précise, du capital informationnel (1 mois pour les images d’un dispositif de vidéosurveillance, 3 ans pour les coordonnées d’un prospect qui ne répond à aucune sollicitation, 10 ans pour les données d’un dossier médical…). Mieux : l’entreprise doit être en mesure de les détruire en amont, sur simple demande du particulier concerné.

Le rôle essentiel du DPO

Or, cette automatisation de la gouvernance de l’information passe par l’adoption de nouveaux outils, qui permettront d’accéder aux données et de les détruire le cas échéant. C’est le DPO (Data Protection Officer) qui devra impulser leur arrivée dans le système d’information.

Ainsi, un logiciel automatisé de gestion des données personnelles permettra notamment au DPO de gérer l’ensemble des tâches demandées par les consommateurs, qui correspondent à autant de nouveaux droits (ou de droits renforcés) suggérés par le RGPD : consultation des données (« Que sait l’entreprise X sur moi ? »), suppression (« Je ne souhaite plus apparaître dans le listing des gens à contacter ponctuellement pour me proposer de redevenir client »), modification (« Je ne suis pas célibataire, merci de me proposer des services qui correspondent à mes attentes ») ou encore anonymisation (« Je ne souhaite plus être associé à telle caractéristique »).

Aller plus loin avec le « File analysis »

Si la CNIL propose un outil, appelé PIA (Privacy impact assessment), permettant de conduire et de formaliser des analyses d’impact sur la protection des données dans le cadre du RGPD, il peut être intéressant, dans les plus grandes structures, de se tourner vers un outil de File analysis. À l’instar de celui que propose Everteam, ces logiciels permettent d’analyser des contenus non-structurés comme semi-structurés, et combinent des fonctions de NLP (Natural language processing), d’auto-classification, d’archivage et de gouvernance de l’information. L’objectif ? Accéder plus vite et plus précisément à son capital informationnel, et réaliser de façon automatique des actions préconfigurées, qui s’optimisent au fur et à mesure de l’apprentissage par le logiciel !

L’accès aux données, et leur destruction en cas de besoin, doivent être au cœur de votre politique de gouvernance de l’information. Vous souhaitez en savoir plus sur les outils qui vous permettront de respecter le RGPD ? Contactez les équipes d’Everteam !

RGPD : quels outils pour la gestion des données ?

Le RGPD s’applique en entreprise grâce à des outils adaptés à ses impératifs. Le plus important de ces impératifs ? Assurer aux consommateurs, qui auraient confié quelques données, que l’entreprise ou l’institution qui les a récupérées sera en mesure de les modifier ou de les supprimer. Il convient donc d’être en mesure d’anticiper les demandes, d’accompagner les requêtes dans des temps convenables, de corriger les erreurs qui ont pu être faites par le passé, ou encore d’accéder directement à la bonne information. Vous l’aurez compris : sans outil de gestion des données, pas de RGPD respecté !

PIA, un outil pour la conduite d’une analyse d’impact relative à la protection des données

Le premier outil permettant de respecter le RGPD est fourni directement par la CNIL. Le logiciel PIA (Privacy impact assessment) permet en effet de faciliter et d’accompagner la conduite d’une analyse d’impact relative à la protection des données. Rappelons que celle-ci deviendra obligatoire pour certains traitements à partir du 25 mai 2018 !

PIA s’articule autour de trois axes :

– Une méthode d’analyse d’impact proposée par la CNIL, avec plusieurs outils de visualisation qui permettent de comprendre en un coup d’œil l’état des risques du traitement étudié ;

– Une liste des points juridiques qui garantissent la licéité du traitement, accompagnée des mesures protectrices des droits des personnes concernées ;

– Un statut « open source », permettant au logiciel de s’adapter à vos besoins et/ou de recevoir de nouvelles fonctionnalités.

Le logiciel automatisé, au centre de la gestion des données personnelles

Les analyses d’impact effectuées, il reste à gérer au quotidien les informations collectées. Cela passe par l’adoption d’un logiciel automatisé de gestion des données personnelles. Il constitue une base solide pour une gouvernance de l’information « RGPD compatible », puisqu’il permet :

– De lister l’ensemble des traitements automatisés ;

– De mettre à jour en temps réel la base documentaire ;

– D’accéder plus facilement aux données sensibles, qu’elles se trouvent dans des ensembles structurés ou non-structurés ;

– De créer une cartographie des traitements ;

– De créer un registre des traitements ;

– D’éditer un bilan annuel des traitements, que la CNIL pourrait être amenée à demander lors d’un contrôle ;

– De supprimer, modifier ou exporter les données, à la demande des consommateurs concernés…

Vous souhaitez aller plus loin ? Les outils de File analysis sont à votre disposition. Ils permettent de disposer d’un point d’accès centralisé, idéal pour rechercher une information suite à une sollicitation de la part des personnes concernées ou de la CNIL lors d’un contrôle, en qualifiant plus tôt l’information.

Une gestion des données efficace, c’est l’assurance de se mettre en conformité facilement avec les exigences de la CNIL pour les DPO. D’ailleurs, nous avons préparé un véritable guide pour ceux qui s’apprêtent à occuper ce rôle capital. Cliquez ici pour le consulter !