GDPR: J – 3 MOIS , ÊTES-VOUS PRÊT ?

1.   Qu’est-ce que le GDPR?

Depuis le milieu des années 90, la législation européenne qui protège la confidentialité des données personnelles a été principalement basée sur la directive européenne 95/46 / CE: la directive sur la protection des données.

L’objectif du GDPR (The General Data Protection Regulation) est de protéger tous les citoyens de l’UE contre les atteintes à la vie privée dans un monde de plus en plus fondé sur les données (internet, réseaux sociaux, e-commerce , IoT, big data, cloud …), très différent du moment où la directive de 1995 a été établie.

Le règlement général de protection des données remplacera les lois locales de protection des données dans tous les pays de l’UE le 25 mai 2018.

Le GDPR aura une incidence majeure sur la façon dont les organisations recueillent et traitent les données personnelles.

On entend par  données personnelles, les données qui directement ou indirectement identifient ou rendent possible l’identification d’une personne concernée qu’elle se rapporte à sa vie privée, professionnelle ou publique, telles que les noms, numéros d’identification, photos, données de localisation et identificateurs en ligne, que ces données appartiennent ou non à des clients, à des employés ou à d’autres personnes physiques.

2.   Pourquoi devrions-nous nous en soucier ?

Toutes les organisations grandes ou petites qui traitent de l’information concernant les individus devront s’adapter rapidement. Les organisations en violation du GDPR pourront être condamnées à une amende allant jusqu’à 4% de leur chiffre d’affaires mondial annuel ou 20 millions d’euros (le montant le plus élevé étant retenu).

Les organisations ont beaucoup de tâches à effectuer pour se mettre en conformité d’ici le 25 mai 2018.

3.   Modifications importantes des règles de confidentialité

Les objectifs du GDPR peuvent être divisés en six tâches et obligations clés pour toute organisation qui touche aux données des personnes concernées de l’UE:

a)      Droits des personnes:

Le GDPR améliore les droits des personnes concernées dans l’UE.

Par exemple, il a codifié et clarifié la capacité des personnes concernées à demander l’accès à leurs informations et à les effacer. En outre, les organisations doivent faciliter l’accès aux données personnelles, avec des informations claires et facilement compréhensibles sur le traitement. La mise à disposition de ces informations permettra aux personnes concernées de comprendre comment leurs données sont utilisées.

b)     Sécurité des données personnelles :

Les organisations seront désormais obligées de signaler les violations des données aux autorités réglementaires dans un délai de 72 heures et, dans les scénarios à haut risque, de suivre cette notification en notifiant les personnes dont les données peuvent avoir été compromises.

Les organisations ont l’obligation de prendre des mesures de sécurité : même si vous n’avez pas une violation des données, vous pouvez toujours être en violation de la réglementation si vous ne prenez pas de mesures proactives.

Les organisations devront mettre en œuvre des mesures techniques et organisationnelles (formation du personnel, audits internes des activités de traitement, examen des politiques RH, politiques internes de protection des données,… ) afin d’assurer un niveau de sécurité approprié au risque, y compris notamment le cas échéant:

• L’anonymisation ou pseudo-anonymisation et le cryptage des données à caractère personnel
• La capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience continue des systèmes et des services de traitement
• La possibilité de rétablir en temps opportun la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique
• Un processus permettant de tester et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement

c)      Légalité et consentement :

Le traitement des données à caractère personnel ne sera licite que si l’un des six facteurs énumérés dans le GDPR est en jeu (par exemple, s’il est nécessaire pour l’exécution d’un contrat ou s’il est requis pour une autre raison réglementaire ou détention légale).

Le consentement est également un de ces facteurs, mais dans le cadre du GDPR, le consentement sera encore plus difficile à démontrer.

Le consentement doit être explicite pour les données sensibles. Le contrôleur des données doit être en mesure de démontrer que le consentement a été donné.

Les conditions d’obtention du consentement ont été renforcées et les entreprises ne pourront plus utiliser des termes et conditions illisibles et illimités.

d)     Obligation de rendre compte :

Les organisations devraient s’attendre à ce que les régulateurs puissent exercer leurs pouvoirs d’accès aux données et aux locaux et, plus généralement, être en mesure de démontrer la conformité aux principes GDPR relatifs aux données à caractère personnel. Des mécanismes permettant de fournir cette preuve – y compris la réalisation d’études d’impact sur la protection des données, le respect des codes de conduite et la recherche proactive de la certification par des mécanismes approuvés – seront disponibles, mais n’ont pas encore été entièrement définis.

e)     Confidentialité et sécurité « à dessein » (Privacy and security by design):

Il sera obligatoire lors de la conception d’un nouveau système, processus, service, etc. qui traite des données personnelles de s’assurer que les considérations de protection des données sont prises en compte dès les premiers stades du processus de conception. En outre, les organisations doivent être en mesure de prouver qu’elles l’ont fait. Deuxièmement, lorsque le système, le processus, le service, etc. à concevoir comprend des choix pour l’individu sur le nombre de données personnelles qu’il partage avec les autres, le réglage par défaut doit être le plus respectueux de la vie privée.

f)       Portée territoriale accrue (applicabilité extraterritoriale)

Le nouveau principe de l’extraterritorialité dans le GDPR affirme que même si une entreprise n’a pas de présence physique dans l’UE, mais recueille des données sur les personnes concernées de l’UE – par exemple par le biais d’un site Web – toutes les exigences du GDPR sont en vigueur. En d’autres termes, la nouvelle loi s’étendra hors de l’UE. Cela affectera en particulier les entreprises de commerce électronique et d’autres entreprises dans le cloud.

4.   Comment se préparer ?

a)     Créer un inventaire des données

Le règlement exigera que les données personnelles détenues soient documentées et indiquent d’où elles proviennent, où elles sont transférées et comment elles sont sécurisées tout au long de leur cycle de vie.

Commencez par faire un inventaire de tous les flux de données ainsi que les traitements de données auquel vous vous engagez.

Vérifiez par exemple que la personne concernée à donner son consentement ou que vous pouvez prouver que vous avez un intérêt légitime à traiter ces données.Les entreprises supposent souvent qu’elles doivent obtenir le consentement des personnes concernées pour traiter leurs données. Cependant, le consentement n’est que l’un des nombreux moyens de légitimer l’activité de transformation. Si vous vous fiez à l’obtention du consentement, vérifiez si vos documents et contrats sont adéquats et vérifiez que les consentements sont donnés librement et spécifiés. Vous supporterez le fardeau de la preuve.

b)     Mettre en place une procédure de réponse à la violation de données

Assurez-vous d’avoir les procédures en place pour détecter, signaler et enquêter sur une violation des données. Mettez en place des politiques claires et des procédures bien pratiquées pour s’assurer que vous pouvez réagir rapidement et notifier les autorités et dans certains cas les personnes concernées dans les délais requis.

c)      Établir un cadre de responsabilisation

Assurez-vous que vous avez des politiques claires en place pour prouver que vous répondez aux normes requises. Établissez une culture de suivi, d’examen et d’évaluation de vos procédures de traitement des données, visant à minimiser le traitement et la conservation des données, et à mettre en place des garanties.

Vérifiez que votre staff est formé pour comprendre leurs obligations.

d)     Embrasser la confidentialité et sécurité « à dessein » (Privacy and security by design)

Assurez-vous que la confidentialité est intégrée dans tout nouveau traitement ou produit qui est déployé. Cela doit être pensé au début du processus pour permettre une évaluation structurée et une validation systématique. La mise en œuvre de la confidentialité « à dessein » peut à la fois démontrer la conformité et créer un avantage concurrentiel.

e)     Analyser la base juridique sur laquelle vous utilisez les données personnelles

Vérifiez vos avis et politiques de confidentialité. Le GDPR exige que les informations fournies soient rédigées dans un langage clair. Vos politiques doivent être transparentes et facilement accessibles.

f)       Tenir compte des droits des personnes concernées

Préparez-vous à ce que les personnes concernées exercent leurs droits en vertu du GDPR, comme le droit à la transférabilité des données et le droit à l’effacement.

g)      Si vous êtes un fournisseur pour d’autres

Dans le passé, seuls les contrôleurs de données étaient considérés comme responsables des activités de traitement de données, mais le GDPR étend la responsabilité à toutes les organisations qui utilisent des données personnelles.

Le GDPR couvre également toute organisation qui fournit des services de traitement de données au contrôleur de données, ce qui signifie que même les organisations qui sont purement des fournisseurs de services qui travaillent avec des données personnelles devront se limiter à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données).

Vérifiez si votre documentation contractuelle est adéquate et, pour les contrats existants, vérifiez qui assume le coût de la modification des services en raison des changements apportés aux lois ou aux règlements. Si vous obtenez ou fournissez des services de traitement de données auprès d’un tiers, il est très important de déterminer et de documenter vos responsabilités respectives.

h)     Transferts transfrontaliers de données

Pour tous les transferts internationaux de données, y compris les transferts intra-groupes, il est important de s’assurer que vous avez un fondement légitime pour le transfert de données personnelles à des juridictions qui ne sont pas reconnues comme ayant une réglementation adéquate de la protection des données.

5.   Coût ou opportunité ?

À première vue, le GDPR est une contrainte réglementaire pour les entreprises.

Mais en investissant de façon pertinente dans votre projet GDPR, vous pouvez créer de la valeur supplémentaire pour votre entreprise.

Il est important de faire en sorte que vos clients se sentent en sécurité. Le fait que les clients s’inquiètent de plus en plus de la divulgation de données personnelles crée une nouvelle opportunité pour les entreprises. Si vous pouvez établir un sentiment de sécurité et de confiance avec vos clients en leur donnant une garantie que leurs informations sont sécurisées, cela peut vous donner un avantage concurrentiel.

La réponse se trouve aussi dans les données personnelles elle-même. Vous avez surement entendu la phrase maintenant surutilisée « les données sont le nouveau pétrole ».

Très souvent, les données restent dans les systèmes. Elles sont stockées, mais pas exploitées car dans des formats bruts, non consolidées et difficilement accessibles.

Ce n’est que lorsque les différents départements d’une entreprise commencent à partager ou ont facilement accès à des informations consolidées pertinentes qu’ils peuvent innover et commencer à améliorer les performances, réduire les coûts et faire une meilleure planification fondée sur les faits plutôt que des hypothèses.

Un projet GDPR est l’occasion de valoriser les données stockées dans l’entreprise. Lors de l’inventorisation des données, une analyse peut être conduite afin d’exploiter au mieux les informations disponibles et d’améliorer sa capacité à prendre des décisions pertinentes dans son activité.

6.   Comment pouvons-nous vous aider à vous préparer ?

Notre équipe pluridisciplinaire composée d’experts en cyber sécurité et data privacy, de change managers, de juristes et de business managers peut vous aider à comprendre l’impact du GDPR sur votre entreprise, à préparer un plan de compliance qui comprendra les différents aspects à considérer (légal, humain, processus, business, technologique) et à générer de la valeur pour votre entreprise.

Exemples de tâches que nous pouvons réaliser :

• Évaluation de l’impact de la protection des données (DPIA) sur votre entreprise
• Inventaire des flux de toutes les données personnelles traitées et classification de la confidentialité
• Évaluation de la maturité de la protection des données et son impact sur les processus, les projets, les systèmes et le business de l’entreprise
• Mise en place d’un programme de protection des données (Iso27001, NIST, …) afin de prendre des mesures appropriées de sécurité de l’information pour assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes de traitement et des services
• Analyse juridique du respect de la législation sur la protection des données
• Rédaction de documents juridiques : contrats avec le sous-traitants, contrats avec les clients, conditions générales, règles de confidentialité, …
• DPO-as-a-Service