Articles

Au fur et à mesure que la loi RGPD s’accélère, le mandat de conformité devient réel

Depuis sa mise en œuvre en mai 2018, le RGPD a fait l’objet de nombreuses discussions mais peu d’actions concrètes de la part de nombreuses entreprises des deux côtés de l’Atlantique.  Le RGPD décrit les exigences strictes en matière de protection des données et de la vie privée pour les citoyens de l’UE et de l’EEE. De nombreuses organisations se sont efforcées de comprendre son sens ; beaucoup moins ont mis en œuvre des programmes de conformité pour répondre à ces exigences.  La menace que représentent les amendes imposées par le RGPD ont paru vagues jusqu’alors pour de nombreuses entreprises – appliquées uniquement aux géants de l’IT comme Facebook, Google et Microsoft.  

Cette semaine, le coût de la non-conformité au RGPD est devenu plus concret avec les amendes massives que le Bureau du Commissaire à l’Information (ICO) du Royaume-Uni a infligé à Marriott International et British Airways, basés respectivement aux Etats-Unis, et au Royaume-Uni.  Les amendes de 110 M€ de Marriott découlent de multiples atteintes à la protection des données en 2014 et 2016 qui ont compromis la vie privée de plus de 500 millions de clients. British Airways (BA) a été condamnée à une amende encore plus élevée de 204 M€ à la suite d’une atteinte à la protection des données en 2018 qui a mis à jour des informations relatives aux cartes de crédit de centaines de milliers de clients.

Deux points sont à noter pour les entreprises qui cherchent à éviter un sort similaire : 1.) Les deux sociétés ont toujours été considérées comme de bons garants de la confiance des clients et sont des marques très respectées et 2.) le montant de ces amendes, tout en restant énorme, reste inférieur aux plafonds autorisés (1,5% des revenus de BA et 2,4% des revenus du Marriott contre 4% permis par les directives du RGPD).  En d’autres termes, si des amendes massives comme celles-ci peuvent être infligées à des entreprises bien gérées comme BA et Marriott, elles peuvent l’être à quiconque n’a pas tenu compte des nouvelles réalités de la protection des données.

Les enseignements pour les entreprises qui cherchent à éviter les amendes et à conserver la confiance de leurs clients sont claires. Sachez où résident les données de vos clients, assurez-vous qu’elles soient protégées de façon appropriée et travaillez activement à les gérer afin de minimiser les risques. Comme les applications d’entreprise et les sources de données sont souvent éloignées et diversifiées, il est essentiel de disposer d’outils souples pour découvrir les informations existantes et mieux le gouverner au moyen de politiques cohérentes afin d’évaluer et de corriger toute vulnérabilité.

Everteam travaille avec des organisations, partout dans le monde, et leur permet de rendre visible les données structurées et non structurées, où qu’elles soient. Nos solutions identifient les informations sensibles et fournissent des outils pour mieux les gérer pour améliorer la conformité, pour réduire les coûts de risque et les coûts informatiques et pour améliorer l’efficacité opérationnelle. Pour ceux qui cherchent à éviter les amendes, à améliorer le service et à accroître la confiance des clients, Everteam est là pour les aider.  Nous aidons certaines des plus grandes entreprises mondiales à surmonter les obstacles réglementaires posés par le RGPD, le CCPA (en Californie), le NYDFS (à New York), et nombre d’autres mesures de protection de la confidentialité des données mises en place par les organismes de réglementation du monde entier.

RGPD | CIL et DPO, ce n’est pas (vraiment) la même chose !

Le Correspondant Informatique et Libertés, référent sur les questions de protection des données personnelles au sein de l’organisme qui l’a désigné, semble être l’équivalent du DPO. Or, le second serait plutôt le successeur naturel du premier. Explications.

CIL, qui es-tu ?

Chargé des questions liées à la protection des données, le CIL (Correspondant informatique et libertés) a plusieurs missions :

  • Garantir la conformité de son entreprise à la loi Informatique et Libertés ;
  • Veiller à la sécurité des données utilisées par son employeur ;
  • Centraliser les traitements des données…

De telles responsabilités rappellent forcément celles qui incomberont, à partir de du 25 mai 2018, au DPO. Les deux fonctions ne sont cependant pas exactement les mêmes.

Plus d’exigences…

Le Règlement général sur la protection des données précise en effet que de nouvelles exigences s’imposent au DPO s’agissant de ses qualifications et de ses connaissances. Il doit notamment — nous y reviendrons — posséder certains savoirs en matière de droit et de pratiques. Et il doit veiller à entretenir ces connaissances spécifiques, via un programme de formation continue. Autant d’impératifs qui ne concernaient pas vraiment le CIL, dont le rôle se limitait finalement à rassurer les clients de l’entreprise, les fournisseurs, les partenaires potentiels, le personnel… et les autorités de contrôle, la CNIL en premier lieu !

… et plus de responsabilités

On estime qu’il existe, aujourd’hui, environ 4 000 Correspondants informatique et libertés en activité. Ils vivent sans doute leurs dernières heures avec l’entrée en fonction des DPO. « Les CIL et les DPO ne cohabiteront pas, confirmait ainsi, début 2016 lors de la 10ème université de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), Edouard Geffray, secrétaire général de la CNIL. Il y aura une conversion de l’un vers l’autre mais les modalités restent à fixer. Et le titre actuel de CIL ne donnera pas lieu automatiquement au titre de DPO. »

Car le DPO doit faire face à plus de responsabilités que le CIL. Sa désignation étant obligatoire dans de nombreux cas, c’est à lui de répondre en cas de contrôle opéré par la CNIL — ou par tout autre organisme de contrôle européen, la CNIL pouvant être « remplacée » par un autre si l’entreprise concernée opère principalement à l’extérieur de nos frontières. De lourdes amendes pouvant être prononcées en cas de défauts constatés, l’impact du DPO sur le destin de l’entreprise est donc incontestable !

Tous les CIL ne deviendront pas, en mai 2018, des DPO. Ces derniers doivent en effet posséder un solide bagage technique et légal pour mener à bien leurs missions. Ils n’ont pas, de plus, un simple rôle consultatif comme le CIL. Mais quel est leur profil ? Réponse dans un prochain article !

RGPD : Le DPO est-il obligatoire ?

Le RGPD (Règlement général sur la protection des données) entrera en vigueur le 25 mai prochain. Il prévoit la création d’une nouvelle mission, d’un nouveau poste même, au sein des entreprises concernées : le DPO, pour Data Protection Officer. Tout à la fois juriste, pédagogue, porte-parole et informaticien, il est le garant de l’application du RGPD. Mais est-il pour autant obligatoire dans votre structure ? Décryptage.

Les profils « DPO mandatory »

Le texte du RGPD est très clair : la nomination d’un DPO est obligatoire dans certains cas. Ce sont notamment :

– Les autorités ou les organismes publics (les administrations, les ministères…) ;

– Les organismes (les entreprises, pour être plus clair) dont les activités imposent de réaliser un suivi « régulier et systématique », à grande échelle, des personnes ;

– Les organismes dont les activités de base leur imposent de traiter « à grande échelle » des données considérées comme sensibles (les données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou des données en lien avec des condamnations pénales et/ou des infractions.

Pour y voir plus clair

Vous l’aurez sans doute constaté : les cas pour lesquels le DPO est strictement obligatoire peuvent paraître assez vagues. Qu’est-ce qu’un « suivi régulier » ? Et un suivi « systématique » ? À partir de quand peut-on considérer que l’on traite des données « à grande échelle » ?

Heureusement, le G29, qui regroupe les différentes CNIL européennes, a publié en décembre dernier des lignes directrices sur l’interprétation de ces dispositions. Ainsi, un « suivi régulier » serait un suivi « continu ou ponctuel », « récurrent ou itératif », « en cours ou se produisant pendant des périodes données ». Serait considéré comme « systématique » tout suivi « prévu, organisé ou méthodique ». Enfin, un suivi à « grande échelle » se déterminerait selon le nombre de personnes concernées évidemment, mis en rapport avec le volume des données collectées, la durée de traitement et le périmètre géographique en question. Quelques exemples d’entreprises concernées par ces derniers critères ont même été fournis par les membres du G29 : les chaînes de restaurant exploitant les données de géolocalisation de leurs clients, les données traitées à des fins de publicité comportementale par un moteur de recherche, celles utilisées par les FAI (fournisseurs d’accès à internet)…

DPO facultatif, mais RGPD obligatoire !

Reste une précision : si les textes du RGPD indiquent que, dans certains cas, la nomination d’un DPO n’est pas obligatoire, cela ne signifie pas que l’application du RGPD devient facultative ! En effet, ses principes s’imposent à tous les acteurs économiques et institutionnels. Ainsi, tous doivent permettre aux personnes concernées par le traitement des données :

  • D’avoir accès aux données les concernant ;
  • De les modifier ;
  • De les supprimer (c’est ce que l’on appelle « droit à l’oubli ») ;
  • D’en limiter l’accès ;
  • De les transférer à un autre acteur économique ou institutionnel…

Le tout dans un délai raisonnable, de l’ordre de moins d’un mois. Autant dire que la CNIL s’attache à rappeler que si le DPO n’est pas stricto senso obligatoire, il n’en est pas moins conseillé. Qu’il soit interne ou externe à la structure.

Un DPO interne ou externe ?

Le Délégué à la protection des données (DPD, le nom francisé du DPO) peut en effet être interne, comme externe à l’entreprise ou l’institution dont il assure la conformité au RGPD. Il peut également être mutualisé au sein d’un groupe d’entreprises, tant que plusieurs conditions sont respectées :

  • Chacune doit pouvoir lui offrir les conditions propices à l’exercice de ses nouvelles responsabilités ;
  • Il ne doit pas exister de conflit d’intérêts ;
  • Il doit être joignable facilement à partir de chaque lieu d’établissement, les contrôles pouvant se faire en ligne ou sur place.

Le DPO est au cœur de l’application du RGPD. Vous devez en recruter un, ou envisagez de le devenir vous-même ? Consultez notre Livre blanc consacré au sujet !

 

Qu’est-ce-que le contenu ROT et que devons-nous en faire ?

Tout le monde a déjà entendu parler du contenu « ROT » (ROT contents), c’est-à-dire le contenu redondant, obsolète ou inutile (en anglais « ROT », Redundant, Obsolete, Trivial) soit du contenu sans réel intérêt stratégique. Vous avez peut-être déjà entendu dire que ce dernier devait être identifié et assaini. Mais qu’est-ce au juste que le contenu ROT et pourquoi faut-il s’en soucier ? Comment le débusquer et qu’en faire ensuite ? 

Le ROT est du contenu superflu associé à l’infrastructure (partages de fichiers, SharePoint, etc.). Il s’agit de contenu inutile et qui peut être supprimé, mais de manière justifiée légalement. Voir aussi la définition de l’AIIM (Association for Information and Image Management) ici (http://community.aiim.org/blogs/kevin-parker/2016/05/05/defining-information-rot).

Qu’est-ce qui est ROT et qu’est-ce qui ne l’est pas ?

La définition de ce qui est et n’est pas du contenu ROT peut varier selon l’entreprise, mais pour faire court, ce contenu peut être défini comme suit :

  • Tout contenu réactif à un litige ou un processus d’e-discovery « Legal eDiscovery » (ESI) n’est pas du contenu ROT (par définition)
  • Parmi ce qu’il reste, le ROT est le contenu inutile pour l’activité de l’entreprise et pour le respect de la conformité, le contenu qui n’a pas été consulté depuis longtemps ou encore qui est un doublon exact ou presque, etc.

Souvent, l’entreprise sous-estime le volume de ROT qu’elle stocke. Certaines entreprises figurant dans le classement Fortune des 500 premières entreprises mondiales rapportent que plus de 30% de leur contenu (en volume) est du contenu ROT.

Qui se soucie réellement du contenu ROT ?

On peut aussi se demander pourquoi se soucier du contenu ROT. Le stockage n’est-il pas bon marché ?

Mais trop de contenu ROT, c’est un peu comme avoir un indice de masse corporelle (IMC) important avec les risques et problèmes que cela entraîne pour la santé :

  • Ce contenu ROT augmente les coûts de stockage… le coût total du stockage peut représenter plusieurs milliers d’euros /To par an dont les coûts de gestion, de sauvegarde, d’infrastructure, de DR, etc.
  • Le contenu ROT stocké sur des systèmes devenus obsolètes peut entraîner des dépenses d’exploitation et de maintenance élevées (ressources, renouvellement de licences, maintenance, etc.), et peut aussi interférer avec les stratégies de mise hors service d’applications planifiées par l’équipe IT
  • Le contenu ROT peut entraîner des risques au niveau juridique ainsi que des coûts d’e-discovery (« Legal e-Discovery ») indésirables et potentiellement élevés
  • Le contenu ROT peut aussi comporter des risques pour la conformité à la réglementation, dont les informations protégées par le règlement général sur la protection des données (RGPD) de l’Union Européenne, règlement que nous évoquons déjà sur notre blog

L’équivalent pour le contenu ROT d’un régime associé à de l’exercice physique est le déploiement d’une stratégie de nettoyage ou d’assainissement du contenu ROT :

  • Définir une stratégie de remédiation du contenu ROT
  • Spécifier des politiques qui définissent les caractéristiques du ROT et les actions à mener pour y remédier après l’avoir découvert
  • Déployer des outils de « File Analysis » ou « File Analytics »  pour trouver le contenu ROT et appliquer ou aider à appliquer les actions spécifiées par les politiques 
  • Mettre le contenu ROT hors ligne
  • Le mettre en quarantaine pendant un certain temps
  • Le supprimer directement
  • Etc.

La nécessité d’un outil de File Analytics adapté pour gérer votre contenu ROT

Le composant technologique File Analysis doit être en mesure de fournir les fonctionnalités suivantes :

  • Connexion à des sources de contenu variées au sein de l’infrastructure [partages de fichiers, SharePoint, systèmes de gestion de contenus d’entreprise (ECM), etc.]
  • Indexation des métadonnées et du contenu
  • Application d’une analyse sur cet index : caractéristiques des métadonnées, entités nommées, classifications, champs sémantiques, etc.
  • Identification du futur contenu ROT d’après les paramètres de configuration des politiques
  • Exécution par les utilisateurs autorisés des actions recommandées par les politiques pour ce contenu
  • Génération d’un journal d’audit à valeur légale concernant ces activités

Le nettoyage du contenu ROT n’est pas une opération ponctuelle. L’analyse des fichiers (File Analysis) doit être configurée pour nettoyer l’infrastructure régulièrement et traiter le delta ROT récurrent.

N’oubliez pas …

Pour conclure, j’aimerais souligner deux points importants :

Lors de la découverte de nombreux doublons d’un même document, l’un d’entre eux peut être d’une importance toute particulière pour l’activité de l’entreprise et valoir son pesant d’or en raison de son emplacement, de la nature de son dépositaire ou encore de son statut d’archive gelée pour des raisons légales, etc. Cette copie précieuse (Copie d’or ou Golden copy en anglais) n’est donc bien entendu pas du contenu ROT, même s’il s’agit d’un doublon. L’outil File Analysis doit participer à l’identification et au traitement de ces copies de grande valeur.

Ce même outil doit également contribuer à l’identification du contenu IPI, PCI et PHI au sein des documents, un élément indispensable pour se conformer aux réglementations sur la confidentialité, par exemple le règlement RGPD qui fera l’objet d’un prochain article sur mon blog.

Le RGPD & Vous : Prêts pour le nouveau règlement européen sur la protection des données ?

Le nouveau règlement de l’UE sur la protection des données (RGPD) pointe le bout de son nez

Le volume de données personnelles stocké par les entreprises et les autorités a littéralement explosé et la valeur de ces mêmes données a augmenté car les activités personnelles faisant l’objet de transactions sur Internet sont toujours plus nombreuses. Le vol d’identité s’est également développé. En plus du chaos pour les entreprises et de l’impact sur la fidélité des clients qu’entraînent les violations de données, de nombreuses juridictions cherchent à aligner leur législation en matière de protection des données sur le nouveau monde basé sur Internet, les deux n’étant malheureusement pas en phase.

Cependant, une transformation de fond est en train de s’opérer. En effet, à l’ère de l’économie numérique, l’information est devenue la monnaie d’échange. Et l’information ne connaît pas de frontières. L’harmonisation des réglementations qui favorise le libre flux de l’information tout en renforçant les droits à la confidentialité et à la sécurité est un impératif pour les décideurs politiques. Prenons l’exemple des blocs commerciaux que sont l’Union européenne d’une part et les États-Unis de l’autre. La valeur totale de l’activité des biens et services entre les deux plus importants blocs est estimée à 5,5 trillions (5000 milliards) de dollars et elle fait vivre 15 millions de personnes. Selon les estimations, les flux transfrontaliers entre l’UE et les USA sont 50% supérieurs à ceux de tout autre bloc commercial. En outre, 65% des investissements des États-Unis dans les technologies de l’information sont réalisés dans l’Union européenne.

Ces tendances troublantes incitent les régulateurs à renforcer la législation sur la sécurité et la confidentialité des données afin d’imposer des obligations plus strictes aux entreprises et aux contrôleurs de données. Le nouveau Règlement Général sur la Protection des Données (RGPD) de l’UE est la preuve la plus flagrante de ce qui sera bientôt un raz de marée règlementaire sur la sécurité et la confidentialité des informations sous la houlette des autorités nationales et du marché.

Historiquement, l’Union européenne a toujours placé la barre haute pour ce qui est de la protection de la vie privée, cette dernière étant considérée comme un droit humain fondamental. L’Article 7 de la Charte des droits fondamentaux de l’Union européenne stipule que « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. »

En réponse aux progrès des technologies numériques telles que le Big Data, le Cloud computing et l’analyse prédictive, ainsi qu’aux révélations de collecte et de profilage des données brutes opérés par les services de renseignements, le Règlement Général pour la Protection des données (RGPD) est une refonte complète de la législation sur la vie privée qui renforce et étend sensiblement le droit à la vie privée.

Il intègre des exigences plus strictes en matière de consentement, l’anonymisation des données, le droit à l’oubli ainsi que la notification des failles, sachant que si ces dernières ne sont pas signalées, elles peuvent entraîner des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’exercice précédent, le montant le plus élevé étant retenu, et qui seront perçues par l’organisme local de contrôle de la protection des données personnelles (la CNIL en France). Concernant les autres failles, les autorités peuvent infliger aux entreprises des amendes d’un montant maximum de 10 millions d’euros ou 2% de leur chiffre d’affaires annuel, le montant le plus élevé étant retenu. Pour une entreprise figurant dans le classement Fortune 500, cela peut représenter des amendes entre 800 et 900 millions de dollars.

Dans notre nouvel e-book intitulé – Information Privacy and Security: GDPR is Just the Tip of the Iceberg (« Confidentialité et sécurité de l’information : le RGPD n’est que la partie émergée de l’iceberg »), nous nous penchons sur cinq questions clés qui devraient faire partie des priorités de chaque cadre dirigeant de l’entreprise, à savoir :

  1. Comment a évolué l’environnement de la confidentialité et de la sécurité de l’information ?
  2. Qu’est-ce que le RGPD, pourquoi faut-il s’en préoccuper et quelles incidences sur votre entreprise ?
  3. Que veut dire « Privacy by Design » ?
  4. Comment l’Internet des Objets (IoT) rend l’équation de la confidentialité encore plus compliquée ?
  5. Comment votre entreprise doit-elle réagir face à tout cela et quel est le rôle du Machine Learning pour résoudre le problème ?

Vous pouvez télécharger l’ebook en cliquant ici et vous inscrire à notre newsletter pour recevoir plus d’informations et de conseils sur le RGPD et la gouvernance de l’information, directement dans votre boîte mail.

Le machine learning et NLP, les alliés d’une mise en conformité au RGPD facilitée

Le nouveau Règlement Général sur la Protection des Données (RGPD) va considérablement modifier l’organisation des entreprises et leurs rapports aux données générées notamment par les interactions avec les consommateurs. Applicable dès le mois de mai 2018, le RGPD s’appuie en effet sur la nomination d’un « référent », sur la tenue d’un référentiel de traitement, et sur un accès direct et aisé aux données sur chaque consommateur. Autant de dimensions qui peuvent être facilitées par les technologies de machine learning. Explications.

Un nouveau rôle dans l’entreprise : le DPO

La gouvernance de l’information est déjà un sujet majeur pour les entreprises. Chaque donnée peut en effet constituer la « clé » de la différenciation, que ce soit face à la concurrence, pour aider à la prise de décision, ou encore pour une meilleure maîtrise des risques. Or, avec le RGPD, entré en vigueur à l’été 2016 et applicable en mai 2018, un nouvel enjeu va accompagner cette dimension incontournable de la stratégie de l’entreprise : être en mesure de redonner le contrôle de leurs données à ceux qu’elles concernent directement.

C’est pour cela que le RGPD exige des entreprises la nomination d’un Délégué à la Protection de la Donnée (ou DPO, pour Data Privacy Officer, en anglais) dans les entreprises et les institutions européennes. C’est lui qui aura pour mission d’orchestrer la nouvelle politique relative aux données dans l’entité avec laquelle il collabore. Il devra notamment tenir un registre de toutes les opérations de traitement, comportant notamment :

  • La finalité du traitement des données (par exemple, « Données traitées pour communiquer mensuellement sur nos actualités d’entreprise ») ;
  • La description des personnes et des données personnelles utilisées (par exemple, « Clients ayant commandé au moins une fois un de nos produits », et « nom, prénom et email ») ;
  • Les différentes catégories de destinataires des données (par exemple, « envoi par logiciel emailing », « envoi par courrier » ou encore « appels téléphoniques ») ;
  • Les garanties de sécurité intégrées au traitement des données (certifications obtenues, résultats d’audits ou encore attestations des éditeurs de logiciels)…

De nouveaux droits à faire respecter

Si le DPO doit optimiser la gouvernance de l’information, c’est parce que la maîtrise de ce véritable patrimoine doit permettre de garantir le respect de certains droits des consommateurs via le RGPD. Ainsi, il doit être en mesure d’assurer l’effacement des données dès lors qu’une personne concernée en fait la demande. C’est ce que l’on appelle communément le « droit à l’oubli », institutionnalisé, donc, dans le RGPD. Les consommateurs doivent aussi pouvoir consulter les informations qu’une entreprise possède sur eux pour, au besoin, les modifier (une adresse incorrecte, un nom mal orthographié, une composition du foyer inexacte ou obsolète…). En limiter les usages également, et les anonymiser. Le tout dans un laps de temps assez court, les entreprises devant satisfaire les demandes « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance », selon les textes officiels !

Toutes ces dimensions posent aussi la question de la portabilité des données. Le DPO doit en effet être en mesure de rendre les informations consultables dans un format couramment utilisé, et lisible par n’importe quel particulier. Sans imposer, donc, le recours à un logiciel peu courant et/ou payant !

Les apports du machine learning pour le RGPD

Autant dire que la tâche peut sembler bien fastidieuse avec des solutions « classiques » et non optimisées. C’est pour cela que le recours à des solutions de gouvernance de l’information intégrant une forte dimension « machine learning » constitue un impératif.

Ce que le machine learning va permettre de faire ? Identifier la donnée, de plus en plus rapidement au fur et à mesure de l’utilisation de la solution, et automatiser les process. Répondre avec plus d’efficacité aux demandes des consommateurs. Leur permettre d’exercer leurs différents droits (limitation, rectification, anonymisation, suppression) prévus dans le RGPD. Enrichir le registre de traitement, que la CNIL doit pouvoir consulter. Assurer, enfin, la portabilité des données, que ce soit en direction des personnes concernées par les données ou d’une autorité de contrôle !

Le machine learning est donc l’allié des futurs DPO (aujourd’hui, simples « correspondants informatique et libertés ») dans la mise en place d’une gouvernance de l’information en accord avec les principes de la nouvelle Réglementation Générale sur la Protection des données. Vous souhaitez en savoir plus sur cette technologie ? Comprendre en quoi une solution d’archivage numérique s’appuyant sur le machine learning peut vous aider à rendre l’utilisation des données plus transparente ? Contactez les experts Everteam !

 

 

RGPD : les 6 étapes de la mise en conformité recommandées par la CNIL et les outils pour y répondre

Dans un monde qui se digitalise, tout devient donnée. Chaque fait, chaque décision, chaque acte devient une information, qui peut être traitée, exploitée, classée. Et ce à des fins commerciales, institutionnelles, réglementaires, statistiques ou encore scientifiques ! C’est pourquoi un nouveau cadre réglementaire, adapté à ces enjeux inédits et au volume de ces données — le fameux Big Data —, est en train de se mettre en place : le Règlement Général sur la Protection des Données, ou RGPD pour les intimes. Il sera entièrement applicable dès le 25 mai 2018, et ce au niveau européen. Comment s’y préparer ? Quels outils mettre en place à chaque étape recommandée par la CNIL ? Décryptons cela ensemble !

  • LE RGPD EN BREF

    Avant de voir en détail les outils qui permettront de satisfaire aux 6 étapes de la mise en conformité établies par la CNIL, commençons par un rapide point sur ce qu’est le Règlement Général sur la Protection des Données. Ce nouveau texte de référence européen, promulgué en avril 2016 et applicable en mai prochain, a pour ambition d’encadrer la protection des données à caractère personnel, et de renforcer les droits des consommateurs en la matière.

    Il repose notamment sur un consentement explicite et positif de ceux dont les informations sont récupérées, sur un droit à l’effacement et à la portabilité, ainsi que sur un cadre (enfin !) harmonisé au niveau européen. Il impose donc aux acteurs économiques de répondre à de nouvelles exigences, à même de renforcer la confiance que les consommateurs peuvent leur accorder.

LES 6 ÉTAPES DE LA MISE EN CONFORMITÉ

Le nouveau RGPD sera prochainement une réalité pour les entreprises, quel que soit le secteur d’activité. Il convient donc de s’y préparer dès maintenant. Pour cela, la CNIL a publié un référentiel de mise en conformité, en 6 étapes, afin d’être en mesure de garantir aux consommateurs que le traitement de leurs données entre parfaitement dans le cadre défini au niveau de l’Union européenne. Voici lesquelles :

  • Étape 1 : désigner un pilote. Sa mission ? Gérer la gouvernance des données personnelles. Il lui reviendra de planifier les actions destinées à appliquer le RGPD. Il deviendra en 2018 le « correspondant informatique et libertés » de l’entreprise ou le DPO (Délégué à la Protection des Données).
  • Étape 2 : cartographier. Il s’agira de recenser le traitement des données personnelles (finalités, sous-traitants, stockage, durée de conservation…), via un « registre des traitements ».
  • Étape 3 : prioriser. Le nouveau RGPD doit entraîner des actions correctrices sur le traitement des données personnelles. Celles-ci doivent être priorisées en fonction des risques qui pèsent sur les droits des consommateurs concernés.
  • Étape 4 : gérer les risques. Cette étape consiste à corriger les défauts constatés dans le traitement des données, via une analyse d’impact sur la protection des données.
  • Étape 5 : organiser les processus internes. Maintenant que les défauts sont corrigés, il convient de réorganiser le traitement des données, en accord avec les obligations du RGPD.
  • Étape 6 : documenter. La mise en conformité doit être démontrée par une documentation complète, actualisée régulièrement et exportable facilement.

QUELS OUTILS POUR RÉPONDRE AUX ÉTAPES DE LA CNIL ?

La CNIL fournit différents outils pour se mettre en conformité avec le RGPD. Ainsi, en premier lieu, un modèle de registre des traitementsest disponible, afin d’aider les entreprises à cartographier leurs pratiques actuelles. Sur le volet « analyse d’impact », des guides « méthodologie »« outillage » et « bonnes pratiques » sont proposés pour apprendre à mieux gérer les risques. Enfin, un exemple de clause de contrat sous-traitant (y compris pour maintenance et télémaintenance) peut être téléchargé.

La bonne mise en place du RGPD dans les entreprises passera aussi par une fine analyse des données  aujourd’hui réparties dans les applications du SI et un archivage efficace possible de celles-ci. En effet, comment garantir l’accès des consommateurs à leurs données personnelles si celles-ci sont irrécupérables, inatteignables et introuvables, dans la masse de data créée et gérée par l’entreprise ?

Pour y répondre, il est idéal d’opter pour une solution d’analyse multi-sources des données dotée de technologies de machine learning permettant d’identifier les données personnelles, complétée par une solution d’archivage en mode Cloud privé, proposant des fonctionnalités de signature électronique, d’horodatage certifié et d’hébergement, en adéquation avec la nouvelle réglementation européenne.

Ainsi, les consommateurs auront l’assurance de pouvoir accéder à leurs données sur demande, de pouvoir demander des modifications ou la suppression ( “droit à l’oubli”) si besoin, et d’en limiter l’usage. Du côté de l’entreprise, c’est l’accès à une meilleure efficacité grâce au machine learning, à une meilleure certification des données et des process, et à un respect complet des impératifs dictés par le RGPD !

Si le RGPD n’est applicable qu’à partir de mai 2018, il convient de prendre dès maintenant toutes les mesures pour en respecter les principes. Vous souhaitez vous faire accompagner dans cette démarche ? Contactez au plus vite les experts de l’équipe Everteam, spécialiste de la gouvernance de l’information !