Mise en conformité GDPR (FR)

Mise en conformité GDPR (FR)

Quel est le temps requis pour une mise en conformité total au GDPR ?

Depuis le 25 mai 2018, l’Union européenne requiert que toutes les entreprises traitant[1] des données à caractère personnel[2] se plient au RGPD (Règlement Général sur la Protection des Données – ou en Anglais, General Data Protection Regulation/GDPR). Il est donc essentiel, si votre organisation traite ce type de données, d’être en conformité avec l’ensemble de ces règles.

Rentrer en conformité avec les obligations légales du GDPR n’est pas de tout repos. Il s’agira de mettre en place un processus de manière à ce que la législation soit respectée en bonne et due forme au fil des années. Un investissement ponctuel vis-à-vis du GDPR ne sera donc pas la bonne stratégie à adopter. Au contraire, un entretien régulier et consciencieux sera d’autant plus apprécié par les autorités de surveillance (Autorité de la Protection des Données – APD en Belgique).

Par ailleurs, il va de soi que le temps nécessaire pour la bonne implémentation du GDPR sera fonction du secteur dans laquelle votre organisation se développe mais également de sa taille et sa structure. Ces paramètres influenceront le nombre de données à caractères personnelles que votre organisation traitera.

i.        Les 6 facteurs incontournables pour être en conformité avec le GDPR

Afin d’être en conformité avec les obligations légales, l’organisation veillera à respecter ces différents points. Les données personnelles devront être :

  1. Traitées de manière légale, transparente et que leur utilisation soit facile à comprendre pour la personne concernée ;
  2. Pertinentes et limitées à l’objectif poursuivi ;
  3. Collectées dans un but déterminé, explicite et légal ;
  4. Exactes et tenues à jour ;
  5. Conservées uniquement durant le délai nécessaire au traitement poursuivi et ;
  6. Traitées en prenant des mesures de sécurité informatique adéquates.

ii.      Une prise en charge interne ou externe ?

Les nouvelles réglementations relatives au GDPR permettent aux entreprises désignées d’externaliser le processus de mise en conformité. Généralement, ce processus est géré par un Délégué à la Protection des Données (DPD – ou en Anglais Data Protection Officer/DPO).

L’organisation tenue de se plier aux nouvelles normes pourra soit désigner son DPO en interne, soit faire appel à une organisation externe proposant ce type de service (DPO as a service). Externaliser ce processus vous procurera de nombreux avantages : Indépendance vis-à-vis de la sécurité informatique, absence de conflits d’intérêts, coûts maitrisés, expertise assurée et formation continue, renforts possibles, …

iii.    Quelles sont les grandes étapes à réaliser pour être en conformité avec le GDPR ?

5 grandes étapes sont nécessaires à la bonne mise en place des normes relatives au GDPR.

  1. Nommez un DPO, en interne ou externe. Celui-ci sera le véritable chef d’orchestre pour l’implémentation du GDPR et sera le premier point de contact ;
  2. Cartographiez vos traitements de données à caractère personnel susceptibles de rentrer dans le champ d’application du GDPR.
  3. Priorisez les actions à mener pour vous conformer le plus rapidement possible au GDPR ;
  4. Réalisez une analyse d’impacts relative à la protection des données (AIPD). Déterminez quelles sont les données comportant un haut risque en matière droits et libertés des personnes.
  5. Etablissez des processus internes de manière à assurer la protection des données au sein de votre organisation (Sensibilisation, anticipation, …).
  6. Mettez-vous à jour en matière de documentation afin de prouver votre conformité au règlement.

Comme vous pouvez l’imaginer, la mise en place d’un tel processus demande du temps et nécessite un suivi permanent. Des nouvelles données personnelles transitent certainement tous les jours au sein de votre entreprise et celles-ci doivent être correctement traitées.

[1] Toutes opérations sur des données personnelles tel que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou mise à disposition, la suppression, la destruction. (Art 4 (2)).

[2] toute information qui se rapporte à une personne physique identifiée ou identifiable ( nom, numéro national, données de localisation, identifiant en ligne… ) appelée personne concernée. (Art 5 (1)).

DPO (FR)

DPO (FR)

Qu’est-ce qu’un DPO ?

Dans un monde toujours plus connecté et où la technologie prend de plus en plus le pas sur notre quotidien, il est important d’instaurer des mécanismes permettant la protection des données et la vie privée des personnes. C’est la raison pour laquelle les nouvelles dispositions relatives au RGPD (Règlement Général sur la Protection des Données – ou en Anglais, General Data Protection Regulation/GDPR) sont d’application depuis le 25 mai 2018. Ces nouvelles règles nous permettront d’évoluer plus sereinement dans un environnement axé vers l’IT.

Les conséquences d’une telle mise en place suggèrent que les entreprises/organisations doivent dorénavant faire appel à un Délégué à la Protection des Données (DPD – ou en Anglais Data Protection Officer/DPO). Il est important qu’une personne de l’organisation, ou bien un conseiller externe soit responsable du respect des principes de protection des données, ayant les connaissances, l’implication et la compétence de le faire.

Alors que la nomination d’un DPO n’est pas nécessairement obligatoire, celle-ci est vivement conseillée afin de permettre à votre entreprise/organisation de répondre aux besoins et au maintien de conformités au GDPR au fil des années. Toutes organisations remplissant l’un des critères suivants se doit de nommer un DPO :

  • Le traitement des données est effectué par une autorité publique ou un organisme public, à l’exception des juridictions ;
  • Les activités de base consistent en des opérations de traitement de données exigeant un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Ou en un traitement de données à grande échelle de catégories données visées aux articles 9 et 10 (Art 37).

i.        Quel est le rôle d’un DPO ?

Dans un premier temps, le rôle principal du DPO est d’instaurer toutes les actions nécessaires afin de garantir la bonne mise en place du GDPR. Par après, il sera tenu de s’assurer et de remplir une série de tâches. Il accomplira les missions suivantes :

  1. Informer et conseiller l’organisation et ses employés sur leurs obligations à tenir afin de se conformer au GDPR ainsi qu’aux autres lois en vigueur relatives à la protection des données ;
  2. S’assurer que l’organisation soit conforme au GDPR ;
  3. Être disponible pour conseiller les entreprises dans leur évaluation d’impact[1] sur la protection des données ;
  4. Coopérer avec l’Autorité de Protection des Données (APD – Autorité de surveillance en Belgique) ;
  5. Être le premier point de contact avec l’APD.

ii.      Comment évaluer un DPO ?

Le GDPR ne prévoit pas que le DPO possède de diplômes spécifiques. Cependant, ce dernier doit être désigné sur base de qualités professionnelles complètes et doit posséder une expertise particulière dans le domaine de la protection de données.

De nombreuses certifications peuvent être détenues par les DPO pour leur apporter la crédibilité nécessaire dans la réalisation des différentes missions qui leur est conférées. Parmi celles-ci, nous pouvons mentionner les certifications suivantes : CISSP, CISM, …

iii.    Externaliser ou non son DPO ?

Deux possibilités s’offrent à vous pour désigner votre DPO :

  1. Soit, vous le nommer en interne ;
  2. Soit, vous faites appel à un consultant indépendant, externe à l’entreprise.

Il n’est pas toujours évident d’avoir à nommer une personne interne à l’entreprise. Outre le fait que cette dernière personne devra posséder des capacités techniques évidentes (ou la former le cas échéant), il sera primordial que le DPO ne doive pas réaliser plusieurs tâches au sein de la société. Cela pourrait très certainement générer des conflits d’intérêts et cette situation est donc à éviter comme le stipule l’art 38 du GDPR : « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions ».

De manière générale, pour des raisons financières tant bien que logistiques, externaliser son DPO se résume à être la solution la plus optimale. Forte heureusement, de plus en plus d’entreprise proposent leurs services pour assurer le poste de DPO au sein de votre organisation (DPO as a service).

[1] Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.

Speed Sourcing GEORGES ATAYA

Speed Sourcing GEORGES ATAYA

Une de mes connaissances et client reçoit récemment un message de son intégrateur lui proposant d’effectuer un upgrade non sollicité sur les applications qu’il héberge. Le message indiqua que faute d’effectuer ce travail dans les mois à venir, l’application ne sera plus maintenue car elle ne sera plus à jour avec la dernière version du logiciel système qui la supporte. Le coût de cet upgrade n’étant pas négligeable, le responsable informatique se demanda s’il faudra accepter ou pas cette demande. Ceci illustre le besoin pour un directeur informatique d’être un bon négociateur et un bon gestionnaire des contrats externes. Il lui faut aussi être un expert technique, et un gestionnaire de risque et devra passer une bonne partie de son temps à surveiller les contrats existants et à préparer ceux à venir. Le recours à des services externes n’est plus un choix mais une obligation dans plusieurs entreprises mais le processus de sélection des fournisseurs externes est assez complexe. Il est difficile de se protéger contre des exemples comme celui indiqué plus haut. La sélection d’un fournisseur à l’aide d’un appel d’offre, consomme trop de temps, coûte cher et retarde le démarrage jusqu’à épuisement de la patience du vendeur ou de l’acheteur (au premier qui cédera). La lourdeur de ce processus encourage l’utilisation de méthodes plus rapides tel le speed sourcing. Il s’agit de s’accorder avec un nombre réduit de fournisseurs sur des critères de bases et de conclure un accord de principe avec l’un d’eux permettant de démarrer la collaboration tout en continuant à définir et compléter les modalités pratiques plus tard. Cette approche se fera surtout avec des fournisseurs attitrés déjà en place, intéressés par définition à maintenir un niveau de confiance et de collaboration élevé. Le client rédige alors une “demande de service” sommaire décrivant le contexte de la demande et les critères essentiels à atteindre. Lorsque le fournisseur sera sélectionné, les modalités pratiques, juridiques et de planning seront complétés et conclus. La méthode de speed sourcing ne pourra néanmoins pas s’appliquer à la première occasion ni au service publique. Comme indiqué plus haut, il est essentiel d’avoir déjà une relation de confiance, l’enjeu ne devra pas être gros et les critères essentiels prédéfinis devront être significatifs et suffisants pour effectuer la sélection. Dans des situations de service à caractère complexe à livrer dans un environnement changeant, les avantages de cette méthode risquent de ne pas compenser ses risques. Il me semble que le responsable informatique, qui maîtrise son activité, est capable de profiter d’une telle méthode et de réduire les délais de lancement de projets adaptés à au speed sourcing dans les 2 à 3 mois comparé des 6 à 9 mois nécessaires en moyenne à un appel d’offre classique. Il faudra en tout cas tester l’approche avec des projets peu stratégiques et peu critiques. Georges Ataya (itp@ataya.net) est professeur à la Solvay Business School, vice-président de l’IT Governance Institute et administrateur délégué de ICT Control SA-NV.