Six changements essentiels apportés à la protection des données via le RGPD

Six changements essentiels apportés à la protection des données via le RGPD

Comme le règlement général sur la protection des données (RGPD) entrera pleinement en vigueur dans un peu moins d'un an, les entreprises devraient déjà sérieusement entamer leur processus de préparation.  Pourtant, elles n'agissent pas rapidement et se penchent sur la conformité au dernier moment. Nous allons aborder six domaines que les entreprises devront considérer pour réaliser la conformité.

Obligation d'inventaire des données et de consignation des traitements de données personnelles européennes

Duncan Brown, analyste IDC, affirme que les entreprises bien gérées le font déjà, mais il est évident que beaucoup d'autres ont encore à s'y mettre.

En outre, selon David Kemp, consultant spécialisé en entreprise EMEA pour Micro Focus, les entreprises doivent d'abord s'efforcer de réduire leur lac de données.  Les données conservées par les entreprises sont trop nombreuses et certaines d'entre elles ont plusieurs années d'ancienneté. Elles résident aussi sur de multiples systèmes.

« Les entreprises doivent considérer cela comme un avantage », explique-t-il. « Certaines souhaitent s'y mettre depuis des années, car le stockage est coûteux. »

Obligation de notification aux organismes régulateurs et aux personnes concernées en cas de violation de données

La notification en cas de violation de données est l'un des changements majeurs générés par le RGPD. L'essentiel, explique Duncan Brown, est que cette notification soit réalisée dans les 72 heures qui suivent la découverte de la violation de données. Le responsable du traitement des données (c'est-à-dire l'entreprise soumise à l'obligation de notification concernant les données) doit signaler la violation de sécurité dans ce délai serré, ce qui est loin d'être facile.

« Dans le secteur, le délai moyen d'identification des violations s'élève à 200 jours », déclare-t-il, « ce qui signifie que quelqu'un a accès au système de l'entreprise pendant les deux tiers de l'année. »

Duncan Brown assure que le RGPD fournit de bons conseils en la matière. « Les entreprises doivent donc instaurer des systèmes pour détecter rapidement les violations et établir un plan d'intervention en cas d'incident. Les entreprises sont également tenues de signaler ces violations aux personnes concernées par les données. Il est important d'en parler aux clients, et il peut même s'avérer judicieux de le faire avant de s'adresser à l'organisme régulateur. »

Ces obligations mettent le doigt sur un autre problème : les outils de sécurité existants sont inadaptés. Les entreprises ont beaucoup investi dans la sécurité, mais un grave problème persiste. « La plupart des entreprises ont acheté les meilleures solutions que leur permettait leur budget, mais elles ne communiquent pas entre elles : elles manquent d'intégration », explique Duncan Brown.

Les entreprises doivent s'efforcer d'intégrer les outils de sécurité afin de répondre aux exigences du RGPD. « La gamme des produits représente désormais un risque pour l'entreprise. D'ailleurs, certaines entreprises refusent d'acheter les produits de sécurité qui n'offrent pas encore l'intégration », ajoute Duncan Brown.

Droit à l'oubli (qui permet aux personnes concernées de demander à ce que leurs données personnelles soient effacées)

En 2014, la Cour de justice de l'Union européenne a demandé à Google de supprimer des références spécifiques aux citoyens de l'Union européenne en vertu du « droit à l'oubli ». Un espagnol, Mario Costeja Gonzalez, avait avancé que le géant de la recherche sur le Web conservait des informations le concernant qui affectaient ses activités professionnelles. Google a réfuté l'accusation, alléguant qu'il n'était pas responsable du traitement de ces données (l'article contenant les informations en questions était hébergé sur un site Web de publication) et que ces informations (disponibles sous la forme d'un avis de mise aux enchères) étaient d'ordre public. Google a perdu et, par suite, a dû répondre à des milliers de requêtes de « droit à l'oubli ».

Déjà défini dans les lois de protection des données de l'Union européenne, ce droit (également appelé « droit à l'effacement ») fait désormais partie intégrante du RGPD, comme l'explique Judith Vieberink, avocate du cabinet First Lawyers (Pays-Bas).

« La gestion de ce processus doit être centralisée pour pouvoir automatiser l'effacement des données. »

Cela implique la collaboration entre différents services des entreprises. « Il faut intégrer le processus au service d'assistance informatique pour faciliter son automatisation », ajoute-t-elle. D'autres experts affirment que les entreprises doivent, parallèlement à cette approche, solliciter une assistance juridique pour s'assurer qu'elles appliquent correctement le droit à l'oubli.

Études systématiques d'impact sur la vie privée

Dans le cadre du RGPD, il est conseillé de réaliser des études d'impact sur la vie privée (EIVP), notamment lorsque le traitement des données pourrait accroître les risques menaçant les droits et la liberté d'une personne. Certains commentateurs y verront peut-être une forme supplémentaire de conformité bureaucratique, mais d'autres soutiennent que cela représente une nouvelle opportunité commerciale.

Dane Warren, responsable de la sécurité informatique d'Intertek Group, affirme que les entreprises doivent réaliser des études d'impact sur la vie privée pour identifier et localiser les données qu'elles détiennent.

Il assure que ce processus a un avantage. « Avec la découverte de données, les entreprises comprennent mieux leurs applications. »

Toutefois, les entreprises ne sont pas livrées à elles-mêmes, explique Duncan Brown d'IDC. « Des outils sont à votre disposition pour effectuer les EIVP. En outre, l'IAPP (International Association of Privacy Professionals) fournit des directives en la matière. Il ne s'agit donc pas de pure conjecture. »

Duncan Brown souligne que ce domaine ne doit pas être négligé, car le RGPD ne se limite pas aux violations de données.

« Il est possible de déroger au RGPD sans avoir subi aucune violation de données. »  Les EIVP doivent être sérieusement considérées par le conseil d'administration et devenir partie intégrante de l'évaluation des risques. « Se contenter d'en parler pendant cinq minutes à la fin de la réunion du conseil n'aurait pas bon effet auprès de l'organisme régulateur », ajoute-t-il.

Nomination obligatoire de délégués à la protection des données (DPD)

L'un des changements majeurs proposés par le RGPD est l'importance donnée aux délégués à la protection des données (DPD).  Ils seront obligatoires dans le secteur public.

Mais d'où vont-ils sortir ? Le moins qu'on puisse dire, c'est que les entreprises ne se précipitent pas pour affecter ce rôle clé à des personnes concrètes. Selon David Kemp de Micro Focus, il existe encore 28 000 postes vacants de DPD dans l'ensemble de l'Union européenne.

L'une des difficultés, c'est que peu de personnes sont en mesure de répondre à toutes les exigences de la fonction. David Kemp affirme que, comme les DPD existants sont rares, il faut mettre en place un programme de formation.

« Beaucoup seront identifiés dans les audits internes », explique-t-il, « car les audits concernent déjà l'application des règles. Mais j'observe également un nombre croissant de services de relocalisation proposés par des cabinets d'avocats : ils fournissent des avocats à leurs clients pour agir en tant que DPD. »

Judith Vieberink souligne que les cabinets d'avocats peuvent également faire office d'organismes de formation. « Les DPD doivent avoir un certain niveau de connaissances sur à peu près tout. Nous proposons donc 30 modules de cours, dans lesquels nous abordons la comptabilité, les audits et les domaines juridiques et techniques. »  Selon Judith Vieberink, ce n'est pas un poste pour jeune diplômé.

« En général, ce poste est destiné à une personne d'environ 45 ans qui cherche à changer de carrière et voit dans la fonction de DPD une nouvelle opportunité. » Il ne s'agit pas d'une notion supplémentaire facultative ; les entreprises ont intérêt à recruter leur DPD dès que possible.

Portabilité et suppression des données

Ce point du règlement est plus controversé, indique Duncan Brown d'IDC : « Les organismes régulateurs n'ont pas vraiment compris la complexité technique que cela représente. Or, du point de vue technologique, les défis sont réels. Par exemple, si une panne se produit alors que les données ont été archivées, il s'avère difficile de les restaurer. »  Selon lui, il faut les traiter sur place pour garantir leur suppression en cas de besoin.

La complexité ne se limite pas à cela. Duncan Brown affirme qu'il existe un autre problème : ce que les entreprises entendent par « données personnelles ». « Que voulons-nous dire exactement quand nous parlons de données ? » s'interroge-t-il.

La question n'est pas simple. « Une demi-page du règlement y est consacrée, mais il s'avère difficile de la résoudre techniquement », observe-t-il. C'est l'un des points du RGPD sur lesquels la théorie et la réalité peuvent diverger. « Toutefois, ajoute Duncan Brown, démontrer que vous agissez conformément à la loi peut vous faire gagner un avantage concurrentiel. »

 

Délégué à la protection des données Juridique Responsable de la conformité Responsable de la sécurité informatique Violation de données

Donnez-nous votre avis et rejoignez-nous sur LinkedIn!

S'ABONNER

S'inscrire pour recevoir les bulletins GDPR & Beyond