Dataprotection: moins d’un an pour se mettre en conformité avec le règlement européen
Le règlement européen relatif à la protection des données personnelles entrera en application le 25 mai 2018 dans tous les pays de l’Union européenne. Il concerne toutes les entreprises privées et publiques, qui ont désormais moins d’un an pour se mettre en conformité. Un vaste chantier qui implique toutes les fonctions internes, à commencer par les juristes.
«La machine est lancée, mais le chemin sera long ». Telle est en substance la conclusion du “baromètre RGPD”, un sondage réalisé par l’Association française des correspondants à la protection des données à caractère personnel (AFCDP) pour mesurer la maturité des entreprises hexagonales à l’égard du règlement européen sur la protection des données personnelles (RGDP), un peu plus d’un an avant son entrée en application. L’enquête constate ainsi que « peu de répondants pensent que leurs organisations seront en conformité le 25 mai 2018 ». Les chiffres sont pour le moins éloquents : sur la centaine d’entreprises interrogées, 19 % estiment qu’elles seront conformes au RGPD en mai prochain, 44 % qu’elles ne le seront que partiellement, et 33 % qu’elles ne le seront pas du tout.
UNE LARGE “IMPRÉPARATION”
« Il existe une très grande hétérogénéité des situations, entre les entreprises qui ont déjà désigné un CIL [correspondant Informatique et Libertés] il y a plusieurs années, et pour lesquelles la mise en conformité avec le règlement européen constitue une marche à gravir, et celles qui découvrent le sujet, et pour les- quelles c’est une montagne à gravir », commente Bruno Rasle, délégué général de l’AFCDP. De façon générale, celles qui seront prêtes dans les délais sont « les grandes sociétés très structurées et celles dont l’activité repose sur la collecte de données, telles que les agences de marketing, les assurances et les mutuelles, ou le secteur de la santé, poursuit-il. Du côté du secteur public, tous les départements ont aujourd’hui leur CIL. C’est en revanche plus compliqué pour les petites communes. »
Comment expliquer cette large “impréparation” à quelques mois de l’entrée en application de ce règlement européen, fruit d’un long travail législatif lancé en janvier 2012, adopté en avril 2016, et qui accorde deux ans pour se mettre en conformité? Il y a, selon Bruno Rasle, plusieurs raisons à cela. Tout d’abord, « les entreprises ont longtemps pensé que c’était un simple toilettage de la loi Informatique et Libertés, et elles se rendent compte qu’en réalité nous allons passer dans un autre monde ». Viennent ensuite « la taille et la complexité du texte » : très technique, il compte plus de 200 pages et pas moins de 173 considérants et 99 articles – afin d’en faciliter l’appropriation, l’AFCDP en propose une version annotée et indexée en accès libre sur son site internet. De plus, « un groupe de travail du G29 – le groupe des CNIL européennes – est chargé d’établir des lignes directrices sur un certain nombre de points du texte qui sont encore ous », rappelle-t-il. Enfin, autre véritable difficulté : « l’habitude de travailler en silo », qui handicape les organisations dès lors qu’il s’agit d’opérer une transformation interne qui implique toutes les fonctions de l’entreprise de façon transverse.
NOUVEAUX DROITS ET NOUVELLES OBLIGATIONS
Avec ce nouveau règlement, l’objectif affiché par la Commission européenne n’est pas d’entraver le business des données au sein de l’UE mais de contribuer à son essor en renforçant la confiance et la sécurité. Le RGPD accorde ainsi aux citoyens européens de nouveaux droits sur l’utilisation de
leurs données personnelles : obligation pour les entités qui les collectent d’obtenir leur consentement clair et explicite en expliquant l’usage qui en sera fait, accès facilité de chacun à ses données, et possibilité de faire valoir un droit à l’oubli. En parallèle, il renforce les obligations pesant sur les entreprises, privées et publiques, et les sanctions prévues en cas de man- quements. Il instaure notamment l’obligation de tenir à jour un registre recensant toutes les données collectées et stockées en précisant pour quel usage et quelle durée – registre qui va se substituer à la déclaration préalable à la CNIL. Via cette cartographie des données et des traitements, l’entreprise doit identi er les plus sensibles et prendre des mesures de sécurité adaptées pour les protéger. Elle doit aussi dispenser des pro- grammes de sensibilisation et de formation de ses équipes à la politique et aux procédures internes relatives à la vie privée et à la sécurité des données. Après la création du correspondant Informatique et Libertés (CIL) par la loi Informatique et Libertés, le RGPD rend obligatoire la nomination d’un délégué à la protection des données personnelles (DPO) si l’entreprise détient des données “sensibles”. Enfin, les sanctions prévues en cas de manquement peuvent désormais atteindre 20 millions d’euros ou 4 % du chiffre d’affaires. En cas de perte de données, l’entreprise devra le notifier à la CNIL, ainsi qu’aux personnes concernées s’il s’agit de données sensibles. Au final, c’est véritablement un changement de culture qu’introduit le règlement européen, en imposant une logique de transparence et de responsabilisation dans un domaine où prévalait jusqu’à présent un régime de déclaration et d’autorisation.
WANTED : CHEF DE CHANTIER
Une (r)évolution qui implique de mener à bien un vaste chantier pour se mettre en conformité. Et fissa. « Il ne faut pas paniquer, et il faut se focali- ser sur l’essentiel – à savoir, la cartographie et la sensibilisation des directions métiers – quitte à faire des impasses qui seront comblées ultérieurement », conseille Bruno Rasle. Reste que pour mener ce projet transverse à bon port, il faut un appui fort de la direction et… un pilote. Doté de plusieurs cas- quettes : « Il faut à la fois des compétences en infor- matique car les questions techniques représentent 50 % du règlement, des compétences juridiques, une compétence métier de l’entreprise et la capacité à répondre aux obligations d’accountability, c’est- à-dire la partie documentation des actions menées, qui est entièrement nouvelle et à laquelle personne n’est formé aujourd’hui », explique Jean-Michel Livowsky, directeur général du cabinet DPO-Avo- cats, spécialisé dans les services de DPO externa- lisé. Pour l’heure, selon le baromètre RGPD de l’AFCDP, « les populations porteuses du sujet dans les entreprises sont principalement les CIL (40 %), suivis des futurs DPO (14 %) et de la DSI (14 %), et du juridique (9 %) ». Mais si l’entreprise dispose d’un CIL ou d’un DPO, ce dernier doit pouvoir s’appuyer sur des res- sources internes, au sein de la DSI et de la direction juridique, ou externes (SSII et cabinet d’avocats). De fait, le volet cyber- sécurité fait partie intégrante du dispositif général de protec- tion des systèmes d’information de l’entreprise, piloté par la DSI. Une problématique qui, selon Jean-Michel Livowsky, par ailleurs expert en sécurité informatique, n’est pas pro- pulsée en haut de l’agenda par la multiplication des cyberat- taques, car « les entreprises pensent toujours que ça ne concerne que les autres, elles n’ont pas conscience d’être de plus en plus ciblées, en particulier les petites ».
VÉRITABLE DIFFICULTÉ : « L’HABITUDE DE TRAVAILLER EN SILO », QUI HANDICAPE LES ORGANISATIONS DÈS LORS QU’IL S’AGIT D’OPÉRER UNE TRANSFORMATION INTERNE QUI IMPLIQUE TOUTES LES FONCTIONS DE L’ENTREPRISE DE FAÇON TRANSVERSE.
LE DUO JURIDIQUE-INFORMATIQUE
En l’absence de CIL et de – futur – DPO, le pilotage du projet en interne revient bien souvent au duo direction juridique-direction des services informatiques. C’est la configuration actuelle au sein du Groupe Naos, spécialiste de la dermocosmétique. « C’est la direction juridique qui pilote ce dossier en lien étroit avec la DSI, témoigne Valérie Sanyas, directrice des affaires juridiques du groupe. Parmi les quatre juristes de mon équipe, une personne est spéciali- sée sur les données personnelles et gère déjà les relations avec le marketing et les déclarations CNIL relatives à la collecte, et c’est avec elle que nous avançons sur ce dossier. » Lequel est encore en phase de projet. « C’est lancé, mais nous ne sommes pas encore entrés dans le concret, poursuit-elle. Nous allons lancer l’audit, qui est un très gros chantier, et la première difficulté est de savoir par où commencer. D’autant que, pour nous, c’est un chantier qui s’inscrit dans un autre, celui de la récente fusion des quatre sociétés qui constituent le groupe Naos… »
En premier lieu, « nous aimerions trouver un prestataire pour nous aider à réaliser l’audit, surtout en termes de méthodolo- gie, souligne la juriste. Nous ne souhaitons pas envoyer d’au- diteur externe frapper aux portes de tous les services parce qu’il va y avoir beaucoup de pédagogie à faire et pour cela je pense que nous, juristes internes, soyons impliqués dans cette démarche dès le début, dès la phase d’audit. » Autre point sensible : le fait que « nous pourrons être amenés, à l’avenir, à collecter des données de santé auprès de nos clients pour pouvoir faire de la communication ciblée – notamment en ce qui concerne la prise de traitements médicaux qui ont un impact sur la peau –, avec toute la particularité liée à la collecte de données de santé ». En revanche, le volet concernant l’obten- tion du consentement explicite « n’est pas un gros chantier pour nous car nous avons toujours été très attentifs à cela », mais il va tout de même « falloir aller plus loin avec les opérationnels sur la façon de traiter les données et de gérer les demandes liées aux nouveaux droits des personnes sur leurs données », pointe-t-elle. L’aspect sécurité informatique « est piloté par la DSI, mais nous travaillons ensemble parce qu’il nous faut comprendre de quoi il retourne et ce qu’il va falloir documenter ». Pour l’instant, « nous n’avons pas encore décidé qui, de la direction juridique ou de la DSI, va se charger du registre et de la documentation, des missions qui, à terme, reviendront au DPO ». Dont le recrutement n’est pas encore totalement acté : « Nous souhaitons recruter en 2018 un DPO à qui nous voulons confier d’autres missions de compliance ainsi qu’un rôle un peu opérationnel parce qu’il est difficile de justifier le recrutement d’une personne qui serait uniquement dans le fonctionnel et la procédure », observe-t-elle.
DPO INTERNE, EXTERNE, MUTUALISÉ
Pour les entreprises qui lancent le chantier et ne savent pas comment procéder, un prestataire externe peut réaliser « ce que j’appelle le nettoyage des écuries d’Augias, c’est-à-dire réaliser un audit de conformité et proposer une méthodologie et une feuille de route », explique le délégué de l’AFCDP, Bruno Rasle. Pour les autres, « il peut effectuer des interventions ponctuelles pour conseiller une méthodologie d’inventaire des traitements, faire des analyses d’impact, ou faire passer un message auprès du Comex à la demande d’un CIL ». Attention, toutefois, car « la mise en place de ce règlement est une manne pour de nombreux acteurs du conseil aux entreprises et cela ouvre la porte à toutes sortes d’abus », souligne Jean-Michel Livowsky, chez DPO-Avocats.
La nomination d’un DPO va quant à elle devenir obligatoire dans les entités privées ou publiques qui traitent des données “sensibles”, « c’est-à-dire dans un très grand nombre », relève Jean-Michel Livowsky. Et si les CIL d’aujourd’hui sont naturellement appelés à être les DPO de demain, le compte n’y est pas : selon la CNIL, plus de 80 000 organisations sont concernées par la nomination d’un DPO, alors que seuls 18000 organismes sont actuellement dotés d’un CIL. Or, on ne s’improvise pas CIL-DPO du jour au lendemain. « Il y a une technicité propre au métier qu’il faut acquérir, reprend Bruno Rasle. La majorité des CIL ont une formation initiale d’informaticien, les autres sont juristes, qualiticiens, archivistes… C’est une fonction très transverse qui fait toute la richesse du métier, lequel connaît une véritable montée en puissance que nous observons aussi bien en termes d’adhésion à l’association que d’offres d’emploi publiées sur notre job board. »
Interne, externe, mutualisée, la mission du CIL-DPO peut être assurée de différentes façons selon les besoins et les res- sources. « Chaque solution a ses avantages et ses inconvé- nients, pointe Bruno Rasle. Un DPO externe n’est pas devant la machine à café, où un DPO interne apprendra beaucoup de choses sur les activités et les projets des uns et des autres, mais un DPO externe est bien mieux armé pour poser les questions qui fâchent. » Autre avantage du DPO externe, selon Jean-Michel Livowsky, « c’est qu’il a une responsabilité civile professionnelle et, s’il s’agit d’un avocat ou d’un membre d’un cabinet d’avocats, il est soumis aux règles déontologiques de la profession ». Coût : « entre 100 et 7 000 euros par mois » chez DPO-Avocats.
Très mobilisée sur le sujet, la CNIL, qui a une mission de contrôle et de sanction, fait aussi beaucoup d’effort de péda- gogie. Elle organise des ateliers gratuits et travaille à naliser différents outils opérationnels pour aider les entreprises à se mettre en conformité. Et elle a également annoncé un renfor- cement des contrôles en 2018. « Les premiers sanctionnés vont servir d’exemples pour les autres », conclut Bruno Rasle.
Par Miren Lartigue
N° 49 – juillet / août 2017 – supplément à la Lettre des Juristes d’Affaires n°1311 du 17 juillet 2017