Le parlement européen a adopté le Règlement général sur la protection des données (RGPD) de l’Union (UE) le 14 avril 2016, au terme de quatre années de négociations. La nouvelle législation remplace l’initiative sur la protection des données de l’UE entrée en vigueur en 1995 et en élargit la portée. Le RGPD s’applique à toutes les organisations qui traitent, stockent ou utilisent des données concernant des citoyens européens. Même les organisations qui n’exercent pas d’activités au sein de l’UE mais qui emploient des citoyens de l’UE ou possèdent des clients et/ou fournisseurs européens doivent s’y conformer. Le non-respect du RGPD peut entraîner de lourdes sanctions, dont des amendes équivalentes à 4 % des bénéfices globaux de l’entreprise contrevenante.
Les organisations concernées par la nouvelle législation disposent d’un délai de grâce de deux ans, à compter de la date d’entrée en vigueur du RGPD et jusqu’au 25 mai 2018, afin de revoir leurs pratiques et procédures actuelles de sorte à les rendre conformes. Bien que ce délai de grâce non négligeable puisse laisser croire à certains chefs d’entreprise qu’ils ont le temps de réagir, ils ne doivent pas sous-estimer la complexité liée à la mise en conformité avec le RGPD.
De nombreuses organisations seront contraintes de réaliser l’ampleur de la tâche, en particulier celles dont les activités couvrent différents pays, dans la mesure où la plupart d’entre elles parviennent déjà difficilement à respecter à la lettre et de manière cohérente la législation actuelle sur la protection des données à l’échelle internationale. Nous pensons que bon nombre d’entreprises de ce type devront adopter une approche différente en ce qui concerne la gestion de la confidentialité des données à l’avenir. Certaines organisations pourraient être amenée à repenser la totalité de leur modèle opérationnel.
En bref, les entreprises doivent réagir rapidement pour déterminer le niveau d’efforts requis pour se conformer au nouveau règlement et pour instaurer les plans d’assainissement appropriés le cas échéant. Cet article expose les étapes-clés que les organisations doivent franchir pour élaborer un programme efficient de conformité avec le RGPD et présente plusieurs éléments qu’elles ont intérêt à prendre en considération dans le cadre du processus.
Désigner le leadership ad hoc
Le RGPD constitue en définitive une obligation de conformité. En ce sens, on aura généralement tendance à attribuer la responsabilité du projet à une équipe chargée de veiller à la conformité et/ou au service juridique interne. Ces équipes ne sont toutefois pas nécessairement les mieux placées pour gérer un tel projet. En réalité, selon notre expérience :
- Nous ne pensons pas que le département juridique devrait être chargé de la responsabilité du projet, dans la plupart des cas. Les entreprises risquent en effet d’accorder trop d’attention à la base à l’établissement de politiques, procédures et contrats types.
- L’équipe de conformité ne nous semble pas non plus la plus indiquée pour gérer le programme. Pour atteindre la conformité avec le RGPD, l’entreprise devra probablement procéder à des évaluations de risques significatives et faire preuve de pragmatisme dans son interprétation de la législation. Bien qu’une équipe de conformité soit spécialisée dans l’identification des risques, la prise de décisions liées aux risques ne fait généralement pas partie de ses compétences.
- La responsabilité du projet ne devrait pas non plus être confiée à l’équipe chargée de la sécurité des informations. Le RGPD n’est pas un programme de sécurité des informations. La sécurité est un aspect du programme et est généralement associée à la confidentialité. Cependant, il ne s’agit que l’un des nombreux éléments qui entrent en ligne de compte dans le cadre de la conformité avec le RGPD. Or, la focalisation sur cet élément est souvent excessive. Les équipes chargées de veiller à la sécurité des informations ont par ailleurs tendance à se concentrer outre mesure sur la protection des données ou sur la prévention de la perte de données. Ces activités sont certes importantes, mais potentiellement moins prioritaires que d’autres démarches liées à la confidentialité des données que les entreprises doivent suivre afin de se conformer au RGPD.
Foncièrement, un programme de conformité avec le RGPD consiste à changer les comportements, ce qui peut s’avérer fort compliqué dans l’ensemble d’une grande entreprise multinationale ou chaîne d’approvisionnement. Par conséquent, l’initiative devrait être pilotée par une personne dotée des compétences et de l’autorité nécessaires pour induire un changement à travers toutes l’organisation et sur une échelle internationale. Les aspects administratifs quotidiens liés à cette mission peuvent être délégués, mais l’ultime responsabilité doit être assumée plus en amont si l’organisation tient sérieusement à opérer un changement.
Pour cette raison, nous estimons que la responsabilité du programme RGPD devrait être attribuée à un chief operating officer (COO) ou à une fonction équivalente du senior management. Nous pensons aussi que cette personne, ou quelqu’un occupant un poste d’un niveau équivalent ou proche, devrait assurer la mission de data protection officer (DPO).
C’est dans le choix du DPO ad hoc que résidera la clé du succès du programme de conformité avec le RGPD pour bon nombre d’organisations. Dans la plupart des cas, le DPO ne sera pas la personne qui exerce déjà cette fonction dans le cadre de la législation actuelle. Le RGPD génère un grand nombre de nouvelles obligations pour le DPO, qui devra disposer des compétences suivantes :
- Une connaissance des éléments requis pour déployer un programme dont l’envergure touche l’ensemble de l’entreprise ainsi que l’autorité nécessaire pour opérer les changements requis en vue d’intégrer les contrôles appropriés dans les processus opérationnels.
- La capacité de poser des jugements avisés et de prendre des décisions axées sur les risques rapidement afin de respecter les échéances de reporting.
- La capacité d’induire un changement au sein de l’organisation et d’élaborer une stratégie légitimant le déploiement.
Le nom respect des droits civils des citoyens européens et de l’obligation d’obtenir leur consentement est passible de sanctions
Dans de nombreux cas, une perte isolée de données n’entraîne que des dommages limités, à condition que l’organisation puisse démontrer qu’elle a signalé à temps la perte des données et qu’elle a pu limiter le volume de données perdues.
Au sens du RGPD, les sanctions pourraient être plus sévères si une organisation n’implémente pas de processus visant à respecter les droits civils des citoyens européens, dont le droit à l’oubli, ou à obtenir le consentement ad hoc de citoyens européens pour utiliser leurs données à des fins spécifiques (ex. : transmission de données).
À titre d’exemple, une entreprise pourrait être condamnée à payer une amende si une enquête sur une perte présumée de données révèle que l’entreprise a utilisé de manière abusive les données d’un citoyen européen (ex. : le nom d’un citoyen ayant invoqué son droit à l’oubli n’est pas supprimé d’une liste de mailing gérée manuellement par un employé de l’entreprise). Une sanction pourrait être infligée même en l’absence de perte de données.
Démarrage du processus
Nous pensons qu’une approche descendante peut améliorer l’efficience des programmes de conformité. Les organisations devraient pour ce faire commencer par revoir leurs modèles opérationnels et leurs sources de revenus afin de savoir quelles données sensibles à caractère personnel elles saisissent et de quelle manière elles les utilisent. Cet exercice les aidera à se concentrer sur les zones à haut risque qui représentent pour elle un enjeu majeur.
À condition d’être exécuté correctement, le processus d’identification de ces éléments de données qui présentent un risque élevé fera partie de l’analyse d’impact relative à la protection des données (AIPD) à laquelle les entreprises sont tenues de procéder en application de l’article 35 du RGPD.
Ce n’est qu’à partir du moment où l’entreprise a décidé de la manière de réagir aux problèmes qui se posent dans les zones à haut risque, reflétant son appétit pour le risque, qu’elle devrait s’efforcer de l’intégrer dans ses documents stratégiques. Un référencement d’exemples actuels de l’AIPD est susceptible de rendre les politiques adéquates et applicables. Une approche descendante peut également garantir que ces politiques sont en adéquation avec les communautés d’utilisateurs présentant un risque élevé et les processus opérationnels connexes.
Les zones prioritaires initiales seront les suivantes :
- Les données à caractère personnel très sensibles que l’organisation détient en vrac.
- Les données que l’organisation détient et utilise (et/ou vend éventuellement) sans que l’individu auquel se rapportent ces données (ex. : un client) n’en ait nécessairement conscience ou sans qu’il n’ait marqué son consentement.
Les entreprises doivent déterminer rapidement si elles détiennent l’un de ces éléments de données et le cas échéant, se demander si elles ne verraient pas d’inconvénient à ce que leur manière d’utiliser des données à caractère personnel soit rendue publique.
Pour les organisations qui ne possèdent pas de données répondant aux critères précités, le processus de mise en conformité avec le RGPD devrait être relativement simple.
Les sanctions pourraient être plus sévères en cas de non implémentation de processus visant à respecter les droits civils des citoyens, dont le droit à l’oubli (qui leur permet de demander aux entreprises qu’elles suppriment leurs données à caractère personnel), le droit de transférer des données (leur permettant de demander que leurs données à caractère personnel soit transmises d’un fournisseur à un autre) et/ou au cas où le consentement requis n’a pas été obtenu.
Des sanctions significatives pourraient par conséquent être infligées, même en cas d’absence de perte de données, si une enquête est menée, par exemple suite à une utilisation abusive de données après qu’un citoyen européen ait invoqué son droit à l’oubli et que son nom n’ait pas été supprimé d’une liste de mailing gérée manuellement par un employé de l’organisation.
RGPD et programme de conformité : autres points à prendre en considération
Nous préconisons de garder les éléments qui suivent à l’esprit lors de l’élaboration d’un programme de conformité avec le RGPD :
- Le RGPD pourrait s’avérer disruptif par rapport aux programmes de transformation digitale. Les obligations du RGPD pourraient avoir un impact significatif sur les projets d’initiatives digitales d’une organisation si celle-ci est réticente à demander le consentement de citoyens européens pour l’utilisation de leurs données à des fins commerciales et/ou si les consommateurs ne donnent pas leur consentement en masse. Les organisations qui utilisent des données de clients historiques qui ne donneront probablement pas leur consentement, ou qui n’ont pas de lien direct avec un client, pourraient être confrontées à des difficultés majeures.
Les organisations pourraient investir d’importantes ressources dans des programmes de transformation digitale pour se rendre compte au final qu’elles ne sont pas en mesure de générer les bénéfices escomptés en raison de restrictions résultant du RGPD. Par conséquent, lors de l’AIPD, les organisations ont intérêt à tenir compte non seulement de leurs activités en cours, mais aussi d’activités futures qui pourraient s’inscrire dans le cadre d’initiatives de digitalisation.
- Les data processors ne peuvent plus se cacher derrière les data controllers. En application de la législation mise en place en réponse à l’initiative de protection des données de l’UE, toute action intentée contre une organisation doit l’être à l’encontre du contrôleur des données par le commissaire de l’autorité chargée de la protection des données. Selon des accords contractuels, le data controller pourrait transférer ce risque, totalement ou en partie, au data processor. Cependant, il n’est pas inhabituel que, suite à des accords confidentiels, un data controller éprouve certaines difficultés à « nommer et blâmer » publiquement un tiers.
En application du RGPD, l’autorité chargée de la protection des données peut imposer directement des sanctions au data processor, ce qui pourrait avoir des implications majeures pour les organisations qui traitent des données sensibles à caractère personnel pour le compte de tierces parties. Les organisations devront dès lors se focaliser autant sur les données prioritaires qu’elles gèrent pour le compte de tiers qu’elles ne le font pour les données qu’elles détiennent.
Autre observation à tirer de la nouvelle législation : le data controller ne contrôle pas le reporting de la violation des données. Par conséquent, si un data controller dissimule des informations, l’autorité de protection des données pourrait s’en rendre compte immédiatement. Etant donné les délais serrés de reporting prévus par la nouvelle réglementation, les organisations devront prendre rapidement des décisions. C’est l’une des raisons pour laquelle nous pensons que le DPO devrait être un membre senior de l’organisation.
Actions immédiates
Toutes les organisations devant se conformer au RGPD devraient entreprendre sur le champ les démarches suivantes :
- Désigner le DPO : la fonction de DPO doit être pourvue rapidement afin de garantir que le programme de conformité avec le RGPD dispose du leadership requis pour assurer son succès. L’entreprise devrait également fournir au DPO désigné un laps de temps étendu pour pouvoir évaluer l’impact du changement et l’opérer.
- Procéder à une analyse descendante : une analyse descendante rapide permettant d’identifier des éléments présentant une sensibilité ou un risque élevé constitue un bon point de départ pour l’élaboration d’un programme de conformité avec le RGPD. Cet exercice permettra également au DPO de saisir rapidement la complexité du RGPD pour l’entreprise et de se concerter au plus vite avec les cadres supérieurs en vue de définir une stratégie de mise en conformité.
- Réaliser l’AIPD : l’organisation doit procéder à une analyse descendante et en consigner les résultats dans une AIPD formelle qui répond aux exigences du RGPD (Article 35). Cette analyse approfondie formera la base d’une planification formelle des activités.
- Prioritiser les actions : l’entreprise doit préparer un plan d’action global couvrant toutes les zones de risques potentiels identifiées dans l’AIPD. Même s’il n’est pas possible de préparer un ensemble complet d’actions avant que l’AIPD ne soit terminée, l’organisation ne devra pas tarder à entamer l’assainissement des zones à haut risque identifiées dans l’analyse descendante initiale.
- Planifier l’assainissement : l’entreprise devra dresser un plan détaillé du projet, avec une définition claire des rôles et des responsabilités, étayée par une planification ad hoc des ressources. Elle doit également préparer une analyse des dépendances critiques. Les organisations ne doivent pas sous-estimer l’importance de la formation, de la sensibilisation et des activités de gestion du changement relatives à ce plan.
- Revoir l’AIPD : la conformité avec le RGPD est une obligation permanente, et non pas un projet ponctuel. Il est important pour l’organisation d’établir un processus permettant de revoir régulièrement l’AIPD ainsi que les plans d’assainissement si nécessaire.
Cet article a été écrit par Protiviti et est apparu sur protiviti.com.
À propos de Protiviti
Protiviti aide actuellement des organisations du monde entier à évaluer les implications du RGPD sur leurs activités et à élaborer des programmes de conformité efficients qui reflètent leur culture de risque. Nous sommes conscients qu’il n’existe pas d’approche universelle en matière de conformité avec le RGPD et que chaque organisation est unique. Nous procédons à des analyses descendantes des modèles opérationnels des entreprises qui font appel à nos services afin d’identifier les principales zones de risques. En outre, nous aidons des équipes de management à définir des stratégies de conformité avec le RGPD visant à minimiser l’impact sur de futurs plans opérationnels, y compris relatifs à la transformation digitale. Protiviti est un acteur global de conseil en management et audit interne. Nos consultants experts assistent nos clients dans les domaines de la finance, des opérations, des projets, des processus, des technologies de l’information, des contentieux, de la gouvernance, de la gestion des risques et de la conformité. Hautement qualifiées et bénéficiant de formations régulières, nos équipes d’experts développent et mettent en œuvre des solutions adaptées et innovantes aux enjeux auxquels sont confrontés nos clients en Europe, au Moyen-Orient, en Asie et en Amérique.