Qui a peur de la grande méchante loi sur la protection des données?
RGPD : ces quatre lettres suffisent pour rendre nerveux tout CIO. Mais un an avant son entrée en vigueur, il règne encore beaucoup d’incertitudes. Il sera certes possible d’entreprendre l’une ou l’autre action en temps voulu, mais pas question de paniquer si cela ne marche pas dans l’immédiat.
Le Réglement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai 2018 et impliquera que les entreprises devront traiter les données personnelles en leur possession de manière réfléchie. Celles qui ne le feront pas et perdront des données, se verront infliger des amendes.
La loi n’est pas toujours bien claire, et sa mise en pratique n’est prévue que dans un an. Voilà qui interpelle sur le plan tant juridique que technologique. Data News s’est par conséquent tourné vers le Bureau de la Normalisation, qui a réuni quelques experts, et vers Beltug qui, conjointement avec Intug, CIOforum et EuroCIO, a récemment organisé une vaste session RGPD. Tentative de faire la lumière dans l’obscurité ambiante.
Suis-je encore responsable, lorsque j’externalise mes processus data ?
Pour le RGPD, la responsabilité incombe au ‘controller’ (l’organisation qui possède les données) et pas au ‘processor’ (l’organisation qui traite les données à la demande du controller). ” Les controllers courent plus de risques d’être punis car la loi les cible directement. Mais elle peut cibler indirectement aussi le processor via les clauses du contrat d’externalisation “, explique Tom Cordier, partner au bureau juridique CMS. En tant que propriétaire des données, vous êtes responsable de la bonne exécution de ce travail. ” En tant que controller, vous pouvez déléguer des obligations, mais jamais la responsabilité “, déclare Jean-Pierre Bernaerts, CIO chez Indaver.
Dois-je revoir les contrats d’externalisation existants ?
De votre fournisseur, vous devez surtout savoir si ce qu’il fait est conforme au RGPD. Il ne suffit pas de demander si c’est conforme au RGPD car il n’existe ni ‘checklist’ toute faite ni norme se prêtant à un audit. Demandez notamment où sont conservées les données, comment une fuite de données est signalée, si l’entreprise est financièrement à même de respecter le RGPD ou si vos données sont stockées en dehors de l’UE.
Une amende me sera-t-elle infligée si je ne suis pas entièrement en règle le 25 mai 2018 ?
Non. Les amendes sont le bâton dissuasif brandi aux entreprises qui ne traitent pas correctement les données. La négligence sera punie, mais ce sera surtout le cas si une entreprise ignore la loi. ” Les amendes sont un peu l’outil de direct marketing de l’Europe, et cela fonctionne car tout le monde écoute subitement “, prétend Willem De Beuckelaere, président de la Commission vie privée belge. ” Tout le monde est conscient de la date-butoir du 25 mai 2018, mais tout ne sera évidemment pas prêt le premier jour ou du moins pas dans les moindres détails.
Il ne suffit pas de demander si votre fournisseur respecte le RGPD. ”
Précédemment déjà, De Beuckelaere avait déclaré dans une interview accordée à Trends qu’il n’allait pas à partir de mai 2018 sanctionner chaque infraction. Il le répète aujourd’hui : ” Nous n’allons pas recourir à la kalachnikov. Mais il faut montrer qu’on est attentif. Si vous vous trouvez dans la zone grise, nous n’allons pas encore prendre de sanction, à condition que vous corrigiez vos erreurs. ”
Sur certains points, nous serons cependant très stricts. Si nous voyons qu’une entreprise traite des données avec un outil Web non sécurisé, nous n’attendrons pas. Dans le passé déjà, nous avons constaté des incidents, où des gens n’avaient aucune idée de la façon de traiter les données personnelles. Dans ce cas, nous agirons aussitôt.
Si mon infrastructure IT est en ordre, cela suffit-il ?
Non. Vous devez disposer de mécanismes de sécurisation des données. Mais les gens ayant accès aux données personnelles doivent être formées et être conscients qu’ils doivent aider à les protéger. Ils doivent donc aussi savoir ce qui est permis ou non “, poursuit Tom Cordier de CMS.
Cette prise de conscience peut se faire de plusieurs manières. C’est ainsi qu’une grande entreprise belge nous explique qu’elle lance actuellement des campagnes de conscientisation internes au moyen de dépliants, d’une adresse mail pour les questions, ainsi qu’avec des articles dans le magazine du personnel. ” Notre réceptionniste doit également être au courant “, apprend-on encore.
Se conformer aux normes ISO, est-ce suffisant ?
Non, mais cela aide. La norme ISO 27001 notamment est régulièrement citée. Elle cible la bonne organisation de la technologie de l’information, des techniques de sécurité et des ‘information security management systems’. Mais elle ne va pas assez loin que pour couvrir tout le RGPD. ” La norme cible surtout l”information system management’ et pas ses contrôles approfondis. Une entreprise certifiée ISO 27001 peut donc encore connaître des problèmes, mais cette norme est quand même un pas dans la bonne direction “, affirme Bart Kuipers, directeur chez PWC.
Ai-je besoin d’un DPO pour chacune de mes entreprises ?
Selon la nouvelle loi, chaque entreprise qui traite des données, a besoin d’un Data Protection Officer. Mais ce DPO ne doit pas être un employé. Cela signifie que les petites entreprises pourront faire appel à un consultant externe, mais aussi que des holdings constitués de nombreuses filiales ne nécessiteront qu’un seul interlocuteur.
Dois-je demander à tous mes clients une nouvelle autorisation pour pouvoir stocker leurs données ?
Très probablement. Si en raison du RGPD, vous adaptez votre contrat de confidentialité ou vos conditions d’utilisation, vos clients devront de nouveau vous donner leur autorisation. Cela pourra se faire en leur envoyant un formulaire, où ils cliqueront sur ‘OK’. Mais aussi en leur présentant une approbation numérique adaptée sur un iPad, lorsque votre représentant passera chez les clients existants.
Attention : l’autorisation doit être explicite. N’utilisez donc pas de cases pré-cochées et sachez que ne pas refuser explicitement ne s’assimile pas à donner son assentiment.
Que dois-je dire à mes clients/utilisateurs ?
Il est important que vous soyez transparent vis-à-vis de vos clients ou utilisateurs à propos des données que vous collectez, pourquoi vous le faites et pendant combien de temps. La clarté est un grand atout surtout s’ils doivent de nouveau donner leur accord.
Quelqu’un demande d’effacer toutes ses données. Dois-je obtempérer ?
Oui, mais il y a des exceptions au droit d’être oublié. ” Il faut avoir une bonne raison pour cela, selon Peter Van Dyck d’Allen & Overy. ” S’il s’agit d’un (ex-)collaborateur, vous devrez peut-être effacer pas mal d’informations de son dossier. Mais pour une bonne politique RH, il faudra conserver un minimum de données sur cette personne.
Il en va de même pour la portabilité des données : vous aurez le droit d’exiger que les données que vous avez vous-même saisies quelque part, puissent être transférées à un autre acteur dans un format habituel. Mais cela ne s’appliquera pas aux données qui, après la saisie, seront générées sur base de cet input. De même, les données qu’un employé générera chez un employeur A, ne pourront pas être transférées à sa demande vers un employeur B. ” Il devrait surtout être possible de supprimer des données d’un individu spécifique.
Je cours un risque élevé de perte de données. Qu’en sera-t-il alors ?
Un débat est encore en cours parmi les commissions vie privée européennes pour savoir si on doit recevoir des notifications de risque important. Mais en réalité, cela ne devrait se faire qu’après un certain entraînement, afin de réduire ce risque. Si le risque est toujours élevé par la suite, tournez-vous alors vers votre ‘data protection authority’ “, explique Willem Debeuckelaer de la Commission vie privée belge.
Les fuites de données doivent être mentionnées dans les 72 heures. Qu’en est-il si cette fuite remonte à des semaines déjà ?
Les 72 heures ne débutent qu’après la découverte de l’intrusion. Ces heures ne sont pas des heures de travail. Constater un incident un vendredi midi et ne le signaler à l’autorité que le mardi suivant, c’est dès lors un délai trop important.
Il est donc essentiel de disposer avec vos partenaires IT d’un mode de travail permettant une signalisation rapide des fuites de données. Si la fuite se manifeste chez votre partenaire, cette information doit parvenir dans les plus brefs délais à votre entreprise.
Que dois-je demander à mon fournisseur ?
Vous devez surtout savoir si ce qu’il fait est conforme au RGPD. Il ne suffit pas de demander si c’est conforme au RGPD car il n’existe ni ‘checklist’ toute faite ni norme se prêtant à un audit. Demandez notamment où sont conservées les données, comment une fuite de données est signalée, si l’entreprise est financièrement à même de respecter le RGPD ou si vos données sont stockées en dehors de l’UE.
Le juste équilibre n’est pas chose facile. ” Vous pouvez vous renseigner sur les compétences techniques des collaborateurs de votre fournisseur ou sur sa feuille de route vers le RGPD. Mais il n’est guère sensé de demander comment fonctionnent exactement sa sécurité ou ses processus internes car il ne voudra pas vous donner ces informations “, explique Jean-Pierre Bernaerts, CIO d’Indaver.
Il est important que les entreprises posent autant que possible les mêmes questions. Un acteur IT (dominant) ne va pas modifier son approche pour un seul client ou révéler quelles data sont conservées dans quel centre de données. Mais si dix clients posent cette question, la pression exercée sera plus forte.
Beltug prépare actuellement, conjointement avec CIOforum, un tel questionnaire abordant sept catégories. Le but est de présenter ces questions d’ici le 17 mai à divers fournisseurs IT et de disposer d’une liste fin prête pour cet été. La Commission vie privée a également publié sur son site un plan par étapes pour le RGPD.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici