La ChroniqueRGPD : La partie n’est pas jouée

10 mai 2019
logo_sticky
RGPD : La partie n'est pas jouée
Le 25 mai prochain, le Règlement (UE) 2016/679 du Parlement européen et du Conseil sur la protection des données (RGPD) fêtera ses un an d’application. L’occasion pour la Commission nationale de l'informatique et des libertés (CNIL), autorité de contrôle française, de revenir sur cette première année d’application dans son rapport annuel rendu le 15 avril 2019.

L’année 2018 a en effet été marquée par l’entrée en vigueur du RGPD, texte de référence en matière de protection des données à caractère personnel dans l’Union Européenne, qui consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978 (modifiée par les lois de 2004, 2016 et 2018). Les deux principes du RGPD sont d’accroître les obligations des organisations responsables de traitement de données à caractère personnelle d’une part, et les droits des personnes concernées par ces traitements d’autre part.
Il s’agit également d’une année record pour la CNIL en termes de plaintes, de consultations et de sanctions (+32,5 % en 2018, soit un total de 11 077 plaintes déposées).

En pratique, la plupart des formalités préalables auprès de la CNIL, telles que les déclarations et les autorisations en amont, ont disparu au profit d’une logique d’amélioration continue des organisations (entreprises, associations, syndicats, etc.), corrélée avec un renforcement du pouvoir de sanction en aval de l’autorité de contrôle française.

Qu’est-ce que la mise en conformité pour une organisation ?

La mise en conformité vise notamment la mise en œuvre de dispositifs de protection des données dont les organisations sont entièrement responsables. A cet égard, la CNIL préconise de suivre 6 étapes, qui sont les modalités les plus usuelles, afin de se mettre en conformité. Cette dernière conseille de désigner un pilote en charge de la gouvernance des données personnelles de votre structure, de cartographier vos traitements de données personnelles afin de mesurer concrètement l’impact du RGPD sur les données que vous traitez, d’identifier les actions prioritaires sur la base de votre registre des activités de traitements, de gérer les risques en menant notamment une analyse d’impact, d’organiser des processus internes, et surtout de documenter votre mise en conformité.

A ce titre, il paraît utile d’ajouter que des outils d’auto-évaluation, tel qu'un questionnaire permettant de réaliser un inventaire et de cartographier les traitements de données personnelles, peuvent être mis à votre disposition. Ainsi, le responsable RGPD de votre entreprise (interne ou externe) pourra vous accompagner dans l’interprétation de vos résultats et vous conseiller sur la gestion des risques (court terme) à opérer dans un premier temps. Dans un second temps, il pourra vous guider au mieux lors de la mise en œuvre de vos actions de mise en conformité (moyen terme).
Pour être efficaces, les actions mises en œuvre doivent perdurer dans le temps et poursuivre une logique d’amélioration continue (long terme).

 

Qui est concerné par la mise en conformité ?

Tout organisme, quelle que soit sa taille, son pays d’implantation et son activité peut être concerné par le RGPD, puisque ce dernier s’applique à toute organisation publique ou privée, qui traite des données personnelles pour son compte, ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne et que son activité cible directement des résidents européens.

 

Comment avoir la preuve de sa mise en conformité ?

La mise en conformité est notamment synonyme de désignation (parfois obligatoire) d’un délégué à la protection des données (le « DPO », selon l’acronyme anglais), de mise en place de processus de réponses aux demandes de droit d’accès (l’exercice pratique des droits représente 73,8% des plaintes reçues en 2018) ou de portabilité des données, et de capacité de gestion d’une crise de cybersécurité en 72 heures.
La mise en conformité est également synonyme de rédaction de toute sa documentation. Cela permet d’établir et de conserver la preuve du respect du principe de responsabilité qui exige en effet que le responsable de traitement assume la responsabilité de ses choix en matière de données personnelles.

 

Les organisations françaises ont-elles réussi à se mettre en conformité ?

Bien que la CNIL ait accordé un délai de deux ans pour effectuer la transition, personne n’est aujourd’hui complètement en conformité aux nouvelles règles applicables. A cet égard, une enquête menée en mars 2019 par le Data Protection Network auprès de 120 DPO, majoritairement au Royaume-Uni, révèle qu’il a été constaté un manque de compréhension en ce qui concerne la nature des failles de sécurité à notifier (selon l’ICO, l’autorité de contrôle britannique, 1/3 des violations reportées ne remplissent pas les conditions posées par l’art. 34 RGPD). Cette même étude révèle que 25% des DPO interrogés ne sont pas confiants quant à la capacité de leur entreprise à maintenir le registre à jour et en conformité. Enfin, 20% des participants au sondage n’ont pas mis en place de programme sensibilisation des équipes et 10% n’ont pas mis en place de formation.

L’année 2019 sera donc, selon la CNIL, décisive pour crédibiliser le nouveau cadre juridique européen et le transformer en succès opérationnel. La CNIL articulera son action autour de deux axes principaux : la pédagogie et la dissuasion. Le respect effectif du RGPD repose en effet selon la CNIL sur une politique de contrôles et de sanctions efficaces. Selon la gravité du dysfonctionnement constaté et lié au RGPD, la CNIL peut infliger une amende d’un montant de 2% à 4% du chiffre d’affaires mondial pour les entreprises.
La CNIL a annoncé concentrer son contrôle cette année autour de trois grandes thématiques, directement issues de l’entrée en application du RGPD : le respect des droits, le traitement des données des mineurs et la répartition des responsabilités entre responsables de traitement et sous-traitants.

 

Ainsi, il n’est pas trop tard. Comment procéder efficacement ?

Les données constituent un moteur stratégique et/ou une source de revenus pour bon nombre d'entreprises, qui ont donc besoin de protéger les données qu’elles exploitent. Une gestion appropriée des données personnelles est fondamentale pour garantir et pouvoir démontrer le respect du RGPD. Cela reflète logiquement l'idée selon laquelle l'élaboration d'un nouveau programme de conformité en matière de protection de la vie privée nécessite un effort constant. Les responsabilités en matière de conformité et de gouvernance des données peuvent et doivent être réparties plus profondément et plus largement au sein de l'entreprise. A cet égard, le RGPD pose les règles applicables à la désignation, à la fonction et aux missions du DPO, sous peine de sanctions. Le DPO, dont la désignation est recommandée par les membres du G29 en dehors des cas obligatoires prévus par le RGPD, est chargé de mettre en œuvre la conformité au RGPD au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

En outre, au regard du droit du travail, le DPO interne à l’entreprise est considéré comme étant un salarié à part entière, lui conférant ainsi une certaine protection dont ne bénéficie pas le DPO externe.

La CNIL a annoncé que 16 200 DPO personnes physiques avaient été désignés en 2018, alors qu’au regard de la taille du marché français, il faudrait au moins 70 000 DPO, soit quatre fois plus. On remarque qu’en pratique, ceux-ci sont plutôt internes à l’entreprise et présentent des profils variés. Or, il est en réalité difficile pour les organisations de trouver une personne qui répond au niveau d’exigence pour être DPO certifié selon les critères de la CNIL, et ce, sans faire face aux problématiques de conflits d’intérêts.

Face à ces difficultés pour les organisations de désigner un DPO, la solution du DPO externalisé semble être la réponse la plus adaptée et la plus efficiente. En effet, le DPO externalisé, désigné notamment via un contrat de service, a l’avantage de la souplesse et de permettre à une structure de se mettre en conformité sans mobiliser un salarié à temps plein ou à temps partiel sur cette fonction. Il présente également l’avantage de pouvoir être mutualisé, permettant notamment de rationaliser les coûts.
Pour désigner un DPO en interne, la structure de l’équipe à laquelle il appartient, les tâches et les responsabilités de chacun des membres doivent être clairement définies. L’organisme devra fournir les ressources nécessaires pour exercer les missions dévolues au DPO, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, mais aussi lui permettre de se former afin d’entretenir ses connaissances spécialisées et de bénéficier d’une veille juridique régulière sur le sujet. Il peut par ailleurs être intéressant de prévoir un accompagnement de ce dernier pour une montée en compétences, ou encore un accompagnement ponctuel notamment en ce qui concerne sa prise de poste ou la mise en place d’un plan d’actions.

Enfin, pour ceux qui manquent de temps, de moyens ou de ressources, il est souhaitable d’opter pour une solution encore plus pratique et plus économique : le DPO externalisé mais surtout mutualisé. L’idéal est une structure qui offrirait un couplage de compétences juridiques, en sécurité des systèmes d’information et en pilotage de projets, le tout, encapsulé dans une déontologie forte.

 

La partie n’est donc pas jouée. Mais quels sont les enjeux à venir ?

La diminution significative des prévisions budgétaires des programmes RGPD pour 2019 (estimée en moyenne par IAPP/EY à 1,8 millions de dollars, soit 1,6 millions d’euros, contre trois fois plus l’an passé) constitue un révélateur du fait que, pour beaucoup d’organisations, les mesures déployées ne le sont qu’à court-terme. Pourtant, d’autres chantiers sont nécessairement à mettre en œuvre pour viser une conformité sur le long-terme, telles que la gestion des consentements ou l’adaptation en profondeur des méthodologies de travail afin de prendre en compte dès la conception des projets et produits les exigences issues du RGPD.
Or, l’émergence notamment de l’intelligence artificielle dans le pilotage d’une unité de production va entre-autre avoir un impact sur les questions de profilage des salariés et d’articulation entre vie privée et productivité professionnelle.
De plus, le futur règlement e-Privacy a vocation à soumettre au consentement le traitement d’une communication entre deux machines, reposant ainsi sur un principe de consentement individuel. Ce règlement, qui encadre les communications électroniques et plus particulièrement la protection de la vie privée lors de ces communications, est encore en cours d’examen au Parlement et au Conseil Européen.