Le GDPR, ou « General Data Protection Regulation« , est le nouveau règlement européen décidé en 2015 qui s’appliquera à partir du 25 Mai 2018 à toute entreprise qui collecte, traite et stocke des données personnelles qui permettent d’identifier une personne. Cette nouvelle loi vise à protéger la vie privée de chaque citoyen.

 

Timeline : De la loi « informatique et libertés » au GDPR :

Le GDPR en un clin d’œil :

Le GDPR représente la reforme européenne concernant la protection des données privées la plus importante de ces 20 dernières années et impactera de manière drastique la manière dont les entreprises traiteront les données personnelles des individus.

  • Calendrier :
    • Entrée en vigueur : 25 mai 2016
    • Date d’applicabilité : 25 Mai 2018
  • Application :
    • Est directement applicable à tous les pays de l’Europe
    • Remplace le cadre en vigueur actuel EU 95/46/EC
  • Scope :
    • S’applique à toutes les entités établies en Europe
    • S’applique aux entités hors UE mais qui traitent des données personnelles de personnes appartenant à l’UE
  • Objectifs :
    • Protéger fondamentalement les droits et libertés des personnes
  • Centrée sur l’individu :
    • Introduit de nouvelles exigences qui renforcent les individus et leur donnent un meilleur contrôle sur leurs données personnelles
  • Sanctions financières :
    • Des amendes allant jusqu’à 4% du chiffre d’affaire total d’une entreprise en cas de non-respect de la loi, en comparaison à la loi « informatique et libertés » qui pouvait aller jusqu’à 300 000 euros, et la loi pour la république numérique, 3 millions d’euros

 

Risques clés et challenges :

Les données personnelles sont une source majeure de risques et un casse-tête pour toute entreprise les manipulant, parmi ces risques :

  • Des sanctions financières colossales – En France, c’est la CNIL qui s’en chargera
    • 2% du chiffre d’affaire annuel dans le cas d’un manquement à une obligation claire (ex : Privacy by Design, nomination d’un Data DPO (Data Protection Officer), oubli de notification d’une violation)
    • 4% du chiffre d’affaire annuel dans le cas d’une transgression au niveau des droits des individus, abus, ou transfert international de données
  • Augmentation du risque de litige et responsabilité pour les entreprises
    • Atteinte à la réputation
    • Perte de confiance des clients
    • Recours collectif – Exposition aux « class actions »
  • Conformité difficile à implémenter
    • Les entreprises doivent à tout moment être en capacité de prouver leur conformité à la loi – exigence de transparence
    • Les deadlines du GDPR sont difficiles à respecter car il faut intégrer l’exigence de mise en conformité au cœur des projets métiers.

 

Sur quels droits s’applique le GDPR :

Le GDPR s’applique sur les droits existants suivants :

  • Droit d’accès: les individus ont le droit d’obtenir une confirmation de traitement de leurs données et en recevoir une copie
  • Droit de contester: Dans certains cas, les individus ont le droit de contester le traitement de leurs données, pour des raisons de marketing par exemple
  • Droit de rectifier: Les individus ont le droit de demander la rectification des données en cas de données incomplètes ou erronées

S’ajouteront aussi ces nouveaux droits :

  • Droit de suppression des données: Les individus ont le droit de demander la suppression de leurs données dans certains cas
  • Droit de restreindre le traitement: Dans certains cas, les individus ont le droit de demander de restreindre la diffusion de leurs données
  • Droit à la portabilité des données: Dans certains cas, les individus ont le droit de demander une copie de leurs données dans un format « machine readable » et les transférer vers un autre fournisseur
  • Droit de ne pas être sujet à la prise de décision automatique: Dans certains cas, les individus ont le droit de refuser d’être sujet à une prise de décision automatique pouvant avoir des incidences légales

Quelles sont les principales exigences du GDPR ?

Le GDPR requière le respect et la mise en place de certaines exigences qui sont :

La prise de responsabilité : L’entreprise doit être en mesure d’assurer et démontrer la conformité au GDPR à n’importe quel moment. Ceci demande :

  • De mettre en place une gouvernance claire, et nominer un DPO (Data Protection Officer, voir plus bas)
  • De mettre en place un cadre de suivi et conformité complet (Procédures internes, formations, audits, contrôles)
  • De maintenir (et mettre à disposition) des enregistrements et archives qui couvrent les activités de traitement des données

Le « Privacy by design »: L’entreprise doit intégrer les principes de protection de données dans tous ses produits et services, systèmes IT, procédures, etc… Dès les phases de développement et pendant le cycle de vie des projets et produits

Le « PIA : Privacy Impact Assessment »: Obligatoire pour chaque projet susceptible de créer un risque évolué pour l’individu (ex : traitement des données en masse, etc…), c’est une analyse de risque qui permet de mesurer la criticité de l’impact d’une fuite ou perte de données

Les nouvelles obligations qui s’appliqueront aux entreprises et fournisseurs en cas de violation, menant à la divulgation, destruction, perte, altération, diffusion ou accès non autorisé aux données sont :

  • Notifier la CNIL dans un délai de maximum 72h
  • Dans le cas où le risque est élevé, communiquer aux individus concernés dans les plus brefs délais (avec exemption si les données perdues/divulguées sont chiffrées)
  • Inclure le DPO dans toutes les démarches
  • Dans le cas où les données sont stockées par une tierce partie, cette dernière doit obligatoirement notifier l’entreprise dès la détection de la violation

Quelles est vraiment le rôle du DPO ?

Comme stipulé plus haut, chaque entreprise, dans le cadre du GDPR, doit nommer un DPO (Data Protection Officer) qui doit :

  • Etre indépendant
  • Doit directement rendre compte au plus haut grade de management de l’entreprise
  • Avoir suffisamment d’outils et pouvoir
  • Etre expert dans le domaine de la protection des données (tenants et aboutissants)
  • Connaitre les périmètres d’activité de l’entreprise
  • Avoir des compétences managériales et sociales

 

Quel impact aura le GDPR sur les fonctions IT ?

L’IT devra participer à la mise en conformité du patrimoine (PIA, privacy by design) ainsi qu’aux campagnes de formations et sensibilisations internes. Ils devront aussi contribuer à la mise en place et maintien du registre des traitements de données personnelles et adapter le SI pour prendre en considération les nouvelles exigences GDPR.

Compte tenu des délais imposés par le GDPR, les grands groupes (surtout les secteurs bancaires, énergie, etc..) risquent d’être les plus impactés par la difficulté d’implémentation de cette loi. Toutefois les entreprises pourront, en cas de manquement ou retard, avancer des preuves démontrant que des mesures et systèmes seront mis en place, accompagnés d’une roadmap claire et concise sur l’implémentation de ces mesures dans les plus brefs délais.

De notre point de vue au sein de Synetis, il importe d’initier en parallèle deux streams de mise en conformité GDPR, l’un axé sur la gouvernance et l’outillage des nouveaux projets – afin de ne plus générer de la « dette GDPR » dans le SI – et l’autre orienté traitement du legacy (SI historique) en se réappropriant son SI en re-documentant (traitements, flux, …) et  en corrigeant (bugs, failles, worflow, …).