En retard pour le RGPD ?

En retard pour le RGPD ?


Par David Chekroun
Un article de La Conversation

Malgré les sanctions potentielles importantes, un grand nombre d'entreprises sont en retard dans leur mise en conformité avec les obligations prévues par le Règlement général sur la protection des données. Quelles sont les principales réformes que ces retardataires implémenter, et les freins à levier? Début de la réponse grâce à l'expérience pratique et l'expertise en matière de traitement de ces problèmes au sein de leurs entreprises.

Une majorité d'entreprises non-conformes?

Règlement général sur la protection des données (RGPD) le 25 mai 2018, la question des données personnelles devient un sujet de préoccupation majeure pour les entreprises. Celui-ci prévoit des sanctions pouvant s'élever jusqu'à 4% du chiffre d'affaires mondial consolidé des entreprises, en cas de manquement à leurs obligations. Une série de conférences que nous avons organisé et d'entretiens réalisés sur le sujet ont mis en lumière une certaine appréhension des entreprises quant aux implications pratiques du RGPD, qui explique le retard d'un grand nombre dans leur mise en conformité.

Impossible de chiffrer le nombre d'entreprises qui ont eu le 25 mai 2018, fait le nécessaire pour se plier au RGPD. Cependant, certains baromètres comme celui de Global Security Mag prédisaient en octobre 2017 que 81% des entreprises ne le sont pas .

Le RGPD, véritable révolution culturelle

En train d'évaluer les risques pour les personnes, les RGPD opère une véritable révolution culturelle. Il est obligatoire d'engendrer des analyses d'impact, dès lors qu'un traitement de données est «susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées» . Par ailleurs, le RGPD transforme la boîte à outils et le paradigme de la régulation des données

Le changement majeur apporté par le RGPD réside dans le passage d'une déclaration à la CNIL à un contrôle au jour le jour fait par l'entreprise elle-même. Un système d'autorisation des données par les régulateurs, avec des sanctions peu significatives pour les grandes entreprises, joue un rôle décisif.

En échange de cette liberté, le législateur européen impose un principe de responsabilité, autrement dit d'obligation de responsabilité. En vertu de ce principe, les entreprises sont, d'une part, être capable de prendre elles-même des mesures – techniques, organisationnelles et juridiques – pour se conformer au droit des données personnelles, et d'autre part, être en mesure de démontrer leur conformité à tout moment. Olivier Rigaudy, directeur général délégué du groupe Teleperformance

Cela nous oblige à mettre en place le processus et la formation appropriée pour nous assurer que les entreprises maintiennent et mettent à jour le registre sur lequel SERA détaillé le traitement. En effet, la charge de la preuve est renversée et c'est maintenant l'entreprise qui doit prouver qu'elle est conforme alors qu'avant, c'était à l'autorité de protection des données de démontrer la non-conformité de l 'entreprise, et donc l'entreprise avait un certain temps pour régulariser la situation.

Le RGPD se limite à fixer à un cadre général, sans déterminer les moyens concrets de mise en œuvre de ce principe, qui doit être réduit au cas par cas. La question se pose dès lors que des mesures sont prises pour mettre en œuvre ce nouveau processus d'autorégulation?

Un nouvel acteur: le responsable de la protection des données personnelles

Parmi les différents chantiers de la réforme, trois axes principaux se dessinent. Le premier tenant à la désignation obligatoire d'un délégué à la protection des données ( responsable de la protection des données ou DPO) dans plusieurs cas . Un nouveau représentant de l'enfant au sein de l'entreprise, avec un message fort, «le délégué à la protection des données directement le rapport au niveau supérieur du directeur du traitement ou du sous- traitant ».

This designation suscitera des difficultés diverses en pratique, selon la maturité initiale de l'entreprise en matière de gouvernance des données, le type de structure et le secteur d'activité de l'entreprise. En effet, alors que certaines entreprises ont déjà été désignées par un Correspondant Informatique et Libertés (CIL), d'autres n'en sont pas revendiquées ou ont circonscrit l'activité du CIL à un domaine restreint (par exemple)

Qui plus est, le CIL d'aujourd'hui ne deviendra pas automatiquement le délégué à la protection des données de demain. Le RGPD lui confère en effet une autre dimension. En tout état de cause, le délégué doit être mieux armé que le CIL pour exercer ses missions dans la mesure où le RGPD fait obligation de lui donner les ressources nécessaires, notamment en termes de budget et d'infrastructures.

Par ailleurs, dans la mesure où le délégué doit rendre compte au plus haut niveau de la direction de l'entreprise, et ainsi de suite son expertise aux cadres dirigeants, sa fonction se professionnalise. La question de ses qualifications et de sa formation se posera avec davantage d'acuité.

Déjà une pénurie de DPO dans l'Union européenne

Alors que la désignation d'un CIL était facultative, la désignation obligatoire d'un délégué à la protection des données dans certaines hypothèses opère un changement d'échelle. Ce sont plus de 28 000 postes qui sont à pourvoir au sein de l'Union européenne! La pénurie frappe la France, au même titre que les autres membres. Certains, qui ne connaissent pas la fonction de CIL, sont au demeurant davantage pénalisés. Même si plusieurs possibilités s'offrent aux entreprises (candidats internes, mutualisation, externalisation), la question du recrutement d'un délégué à la protection des données est très attentive.

Le poste also able of revêtir in the protection of data dans les grandes structures très hiérarchisées, dans les secteurs où la transmission est au cœur du métier, comme la banque ou les assurances. En pratique, d'importants retarde peut résulter d'une réflexion sur la place que doit occuper le délégué.

Implémenter le respect de la vie privée dès la conception

Le second chantier à mettre en œuvre est lié à l'obligation de protéger les données dès la conception d'un produit ou d'un service ( Privacy By Design ) et par défaut () Confidentialité par défaut ). Matthieu Dary et Leila Benaissa dans leur article «Protection de la vie privée: un principe de protection séduisant mais complexe à mettre en œuvre»

rendre l'individu maître de ses données et s'authentifier à l'entreprise pour s'inscrire dans une démarche responsable améliorant la confiance des utilisateurs et apportant un avantage compétitif.

Le concept de vie privée par conception oblige les entreprises à anticiper tous les risques liés au traitement des données à caractère personnel. Plus généralement, c'est une mesure de bon sens, d'efficacité et d'efficacité: les coûts de mise en conformité à posteriori, en cas de découverte de failles ou de non-conformité après la mise en production d'une application, peut en effet se révéler très élevé.

En pratique, le vie privée par conception se pense en fonction de chaque modèle technique et commercial développé, et repose sur une analyse des risques adaptés, qui durera tout au long de la vie du produit / service. Le point de vue, la généralité des employés employés par le RGPD est source d'interrogations.

Plusieurs questions sont posées: celle des acteurs du droit à la vie privée celle des technologies concernées -santé – montres, podomètres … -, les objets connectés (voitures avec géolocalisation, enregistrement des comportements), les drones, etc.), et surtout, pour Matthieu Dary et Leila Benaissa, celle des mesures concrètes à mettre en œuvre.

Respect de la vie privée par conception: une injonction paradoxale?

De manière générale, le vie privée par conception va obliger les entreprises à modifier leur méthodologie de gestion de projets et va les contraindre à faire des choix, notamment en restreignant l'offre à leurs clients.

Au-delà de ces incertitudes, quelques difficultés peuvent, d'après Matthieu Dary et Leila Benaissa, surgir dans la mise en œuvre pratique de ce concept. Celui-ci pourrait même constituant une fausse bonne solution .

Les principes fondamentaux du protection de la vie privée par conception ] big data trouve sa raison d'être dans le traitement de volumes gigantesques de données dans un dessein qu'il est censé découvrir lui-même ?

Enfin, il est très difficile d'anticiper tous les usages, qui peut être lié à l'évolution des comportements à la technologie initiale. Une intervention à postériori en application d'un principe, que certains nomment la vie privée par redesign qui aurait pour objectif d'appliquer les principes fondamentaux de la vie privée par conception aux systèmes existants, ] pourrait être une réponse .

Un rattrapage qui se traduit souvent par un travail de fouilles

Enfin, le troisième chantier à mettre en œuvre impose aux entreprises d'être en mesure de démontrer, à tout moment, ces respectent le RGPD. Afin de prouver leur conformité, il leur faut tenir un registre des traitements des données enregistrées dans leur sein. Si cette obligation de déclarer les traitements existe depuis la loi dite Informatique et Libertés de 1978, en pratique elle a peu été respectée.

Mappage de données (cartographie des données). Il s'agit sans conteste d'un des plus gros chantiers de mise en conformité avec le RGPD.

À cela s'ajoute la cartographie des contrats de sous-traitance, il faudra, le cas échéant, renégocier. Le cas du groupe Teleperformance d'Olivier Rigaudy illustre bien l'ampleur de la tâche:

Teleperformance est implanté dans 77 pays. Nous devons nous assurer que toutes les personnes au sein de l'entreprise comprennent la politique de confidentialité des données du groupe (agents, équipe commerciale, RH, gestion, etc.). Ou Teleperformance emploie plus de 210 000 personnes dans le monde entier. Tous les pays n'assurent pas le même niveau de protection, et nous devrons donc veiller à ce que les filiales soient comprises dans ces pays conformément à ce qui est prévu en 2018.

Le RGPD impose aux entreprises des obligations qui peuvent être aussi chronophages (l'élaboration d'un registre des traitements) que les coûts, les informatiques en particulier, pour réaliser ce registre. Pour autant, la plupart de ces obligations existaient déjà. Le RGPD se démarque-t-il à les formaliser? L'apport réel du RGPD résiderait-il ailleurs, dans la prise de conscience des problèmes liés aux traitements des données personnelles et la nécessité d'apporter des réponses uniformes à ces problèmes transnationaux? Sur ces points, les avis de gestion et de gouvernance sont souvent partagés.

La version originale de cet article publié le La conversation .



Source link

Leave a Reply

Your email address will not be published. Required fields are marked *