ENTREPRISES & STRATÉGIES — Technologies

Technologie, data protection, cybersécurité, GDPR: comment bien s’entourer dans sa transformation digitale?

RGPD – bien s’entourer: la clé du succès



florence_d_aths-loyens_0.jpeg

Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) s'appliquera de façon uniforme aux États membres de l'Union européenne. La date butoir approchant à grands pas, beaucoup d'encre a déjà coulé sur le sujet, et de nombreux séminaires, formations et conférences ont été dispensés tant «pour» que «par» le secteur privé et public.

La raison principale de cette émulation est triple: 

  • Premièrement, le RGPD nous concerne tous. Le public à informer était donc extrêmement large. En tant qu'individus qui partageons nos données personnelles, nous nous sommes vu accorder des droits nouveaux ou étendus par le RGPD, comme le droit d'être clairement informés sur la façon dont nos données sont traitées, le droit de requérir l'accès à ces données ou encore d'en demander la correction ou la suppression dans certaines circonstances. Quant aux entités qui traitent nos données (les «responsables du traitement» et leurs «sous-traitants»), de la petite start-up à la grande multinationale en passant par le centre médical de votre quartier, tous se sont vu soumettre à des obligations nouvelles ou étendues en matière de protection des données. Parmi ces obligations, citons celle d'informer systématiquement les individus dont les données personnelles sont traitées, celle d'assurer l'intégrité et la confidentialité des données au travers de mesures techniques et organisationnelles ou encore celle de formaliser chaque relation entre «responsable du traitement» et «sous-traitant» au moyen d'un contrat ou d'un autre acte contraignant;
  • Deuxièmement, la prolifération massive des outils digitaux, tant dans le milieu professionnel que privé, implique des activités de traitement et des flux quasiment continus de données personnelles. E-mails, listing clients, programmes de gestion et de partage électronique de documents, réseaux sociaux, sites web, cookies, «apps», «trackers» ou encore badges d'identification; pour rester économiquement viables, les entreprises n'ont eu d'autres choix que d'adopter ces outils. Pourtant, ces dernières ont collecté et rassemblé – parfois même inconsciemment – des quantités astronomiques de données personnelles sur leurs employés, leurs clients et leurs contacts professionnels. Le temps du «grand nettoyage de printemps» a sonné;

  • Troisièmement, et sans doute de façon primordiale, le non-respect des obligations essentielles du RGPD pourra bientôt entraîner des amendes colossales: jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel de l'entreprise ayant commis l'infraction. Contrairement à l'ancien régime, les sanctions sont devenues réellement dissuasives. L'un des objectifs affichés du RGPD est d'ailleurs de responsabiliser les entreprises quant à la façon dont elles collectent et traitent les données personnelles des individus.

Après la phase d'information est venue celle de l'action. Au Luxembourg, de nombreux guides et outils ont été mis à la disposition des entreprises, notamment par la Commission nationale pour la protection des données (la CNPD), afin d'aider ces dernières à se conformer au RGPD. Citons à titre illustratif la fiche «10 questions pour aider votre institution à se préparer au RGPD» ou le récent «GDPR Compliance Support Tool» de la CNPD.

Ces guides et outils permettent d'enclencher le processus de conformité. Le RGPD est cependant une législation abondante et complexe qui nécessite un investissement substantiel et une expertise tant légale que technique afin d'atteindre le niveau requis de conformité. Pour les moyennes et grandes entreprises, une aide externe est donc souvent indispensable.

D'un point de vue légal, il est préférable de se faire conseiller afin de déterminer les obligations «conditionnelles» auxquelles l'on pourrait être soumis (ex. l'obligation de tenir un registre des activités de traitement ou de désigner un délégué à la Protection des données). Il est également souvent nécessaire de requérir de l'aide pour établir ou mettre à jour la documentation nécessaire (ex. politiques de confidentialité à l'attention des clients ou employés, contrats de traitement entre responsable et sous-traitant, etc.). Dans ce cadre, il est important d'avoir recours à des experts pour éviter tout malentendu, erreur ou manquement.

D'un point de vue technique, chaque entreprise devra également s'engager dans de nouvelles procédures (ex. analyses d'impact relatives à la protection des données), améliorer le cas échéant son infrastructure «IT» pour atténuer les risques existants (ex. cryptage, limitation de l'accès aux données personnelles, etc.), et adopter de nouveaux protocoles pour être en mesure de respecter ses obligations liées au RGPD (ex. s'assurer que les données personnelles soient «repérables» et effacées une fois que leur traitement n'est plus nécessaire, dans un souci de respect du principe de limitation de la conservation). Dans ce cadre, il est important d'impliquer son propre département «IT» et de solliciter une aide externe au besoin.

En conclusion, dans un monde digital et réglementaire de plus en plus complexe et élaboré, la clé du succès reste, en grande partie, de savoir bien s'entourer et de se faire aider.