Protection des données personnelles : tirer les ponts pour répondre durablement aux exigences du RGPD
22 septembre 2017 - Auteur : Hugues Morley-PeggeRGPD, un règlement européen pour protéger les individus
Toutes activités confondues, nos entreprises et organismes sont engagés dans des révolutions digitales qui mettent un accent déterminant sur l’exploitation des données. Big Data ou exploitation plus classique, il est devenu urgent d’inventer de nouveaux services et de développer les activités afférentes pour capter, faire parler et traiter les informations révélatrices des besoins et comportements des clients.
Afin de protéger les individus impactés par ces initiatives, le législateur européen fait adopter un Règlement Général sur la Protection des Données ou RGPD (General Data Protection Regulation en anglais). En vigueur en mai 2018, il est applicable par les responsables des traitements, c’est-à-dire à peu près tous les organismes privés ou publics qui collectent, enregistrent, organisent, structurent, conservent, exploitent… des données à caractère personnel (i.e. toute donnée qui se rapporte aux individus). Concernant les données sensibles à risques telles que les données de santé, données de génétiques ou biométriques, données ethniques, opinions politiques ou religieuses etc. les exigences sont renforcées en vue d’une protection maximale des personnes.
Pour convaincre, le législateur prévoit des sanctions importantes, aux impacts opérationnels forts, puisqu’elles peuvent toucher les autorisations de traiter les données, celle d’exercer ou le volet financier au travers d’amendes aux montants très importants.
Des principes liés aux données, aux traitements et aux droits des personnes ainsi que des exigences spécifiques à respecter
Une immense majorité de nos entreprises est donc concernée par ce règlement. Elles ont l’obligation de mettre en œuvre les mécanismes et procédures internes, propres à permettre la protection des données à caractère personnel. Et surtout, elles doivent pouvoir démontrer à l’autorité de contrôle qu’elles respectent le règlement : c’est le principe d’accountability. Il s’agira donc de prouver l’application effective, sur les volets sécurité, gouvernance et transparence :
- des principes liés aux données: transparence, limitation des finalités, minimisation, exactitude, conservation,
- des principes liés aux traitements: licéité, consentement, obligation légale, sauvegarde des intérêts vitaux, exécution d’un contrat, intérêts légitimes du responsable de traitement, etc.
- des principes liés aux droits des personnes: communication, accès, rectification effacement, portabilité, etc.
- des exigences spécifiques: nomination d’un Délégué à la Protection des Données (ou Data Protection Officer en anglais), mise en place du privacy by design, etc.
Comme souvent désormais, ces obligations s’étendent au-delà des frontières naturelles de l’entreprise, et s’appliquent par conséquent aux sous-traitants qui gèrent les données personnelles mises à disposition par le donneur d’ordre. Ces prestataires ont par ailleurs un devoir de conseil vis-à-vis de ce dernier en termes de protection des données.
Vers un Système de Management de la Protection des Données
En pratique, le RGPD impose de déployer, entre autres :
- Une politique relative à la protection de données ;
- Des nouveaux processus / procédures dédiés ;
- Des instances de décision ;
- Un animateur de la démarche, le Délégué à la Protection des Données ;
- Un pilotage d’ensemble ;
- Des plans d’actions à mettre en œuvre ;
- Etc.
Beaucoup auront reconnu dans cette liste, un certain nombre de traits caractéristiques d’un Système de Management, quelle qu’en soit la nature : Qualité, Environnement, Risque, Sécurité, etc.
Des Systèmes de Management de la Protection des Données Personnelles (SMPDP), appelons-les ainsi, sont donc sur le point de voir le jour, dans quasi toutes les organisations. Les recettes de mise en œuvre de systèmes de management ont été testées et sont disponibles. Et il est probable que cette fois encore, on tâchera de transformer cette nouvelle contrainte en opportunité pour l’entreprise – Le RGPD n’est-il pas vecteur de confiance entre le client et l’entreprise, favorisant ainsi le développement commercial ?
Néanmoins, s’il est clair que la réussite de ces démarches reposera tout d’abord sur une coopération pleine et entière entre le monde de l’IT et celui des juristes, ce ne sera pas suffisant.
En effet, transverses par nature, les SMPDP seront nécessairement en adhérence avec un certain nombre de démarches majeures, déjà présentes dans les entreprises : Qualité Client, Gouvernance et Qualité des données, Sécurité du Système d’information, Maîtrise des Risques et Conformité, Architecture d’Entreprise, Performance des processus, Responsabilité Sociale d’Entreprise, Projets, etc.
Déployé isolement, le SMPDP pourra difficilement atteindre ses objectifs de manière efficiente
Pour répondre à la préoccupation des dirigeants quant à l’efficience de mise en œuvre, au-delà de la conformité règlementaire, se pose donc, en amont de la démarche, la question des convergences et de la capitalisation sur les existants. Ce qui implique d’établir les connexions au-delà des exigences cœur du RGPD. C’est en effet à cette condition que les dispositifs créés ne s’ajouteront pas aux SMQ[1], SMSI[2], SMR[3], etc. qui s’empilent traditionnellement « sans trop se parler », tels qu’illustré ci-dessus.
Cette ambition, est déjà à l’ordre du jour d’un certain nombre de dirigeants[4] et est probablement une condition sine qua non de pérennité pour le SMPDP à venir.
[1] Système de Management de la Qualité
[2] Système de Management de la Sécurité de l’Information
[3] Système de Management des Risques
[4] Lire Processus, ce que font les dirigeants, M Raquin & H Morley-Pegge, Editions Maxima 2017, où certains Directeurs Généraux vantent le développement de Systèmes de Management Intégrés pour remplacer les SM traditionnels vecteurs de lourdeur et de rejet par les opérationnels.
