1.           Pourquoi la mise en conformité RGPD constitue un réel défi pour les entreprises?

La plus grande difficulté que rencontrent les entreprises dans le cadre de la mise en conformité RGPD est liée à la découverte des données personnelles qu'elles traitent. L’identification de données collectées figure parmi les étapes indispensables au traitement ultérieur de demandes d'exercice des droits des personnes concernées. Ceci inclut le droit à l'effacement et le droit d'accès, ainsi que le respect des périodes de rétention prévues par la loi. En l'absence d'un outil de cartographie automatique des données, il s'avère compliqué pour les entreprises de localiser, ou tout au moins de localiser avec un degré de précision satisfaisant, les données personnelles qu'elles traitent. Le volume de données personnelles à traiter, voire à supprimer et/ou anonymiser, est d’autant plus considérable qu’il est susceptible d’exposer chaque entreprise à une non-conformité RGPD et donc à des amendes de la part des autorités de contrôle.

2.           Quelles solutions pour automatiser les contrôles GDPR?

Le cabinet EY, conscient des difficultés de mise en conformité RGPD auxquelles font face les entreprises, a développé une solution technologique de pointe visant à identifier, corréler, mapper et visualiser les données personnelles dans tout type de base de données (data centres ou cloud), y compris des données non structurées (file servers/e-mails). Ensuite, cette technique innovante permet aussi une analyse comparative du registre des activités de traitement avec les données techniquement identifiées dans les multiples bases. Dans un deuxième temps, EY procède aussi à une analyse automatisée des périodes de rétention des données découvertes, afin de permettre aux entreprises de se conformer à leurs obligations légales. Le nettoyage est l’étape suivante et consiste à effacer et/ou anonymiser les données personnelles ciblées, ainsi qu’à améliorer la gouvernance des données. Un tel exercice permet aux entreprises de vérifier tant la nécessité que l'exactitude des données collectées, en minimisant ainsi le risque de non-conformité au RGPD et donc le risque d’amende.

3.           Quid du futur?

Un peu plus de deux ans après l'entrée en vigueur du RGPD, la protection des données et la mise en conformité restent toujours d'actualité. Les amendes infligées par les autorités de contrôle et la mise en cause par la Cour de justice de l'Union européenne (UE) des transferts des données personnelles vers les États-Unis y contribuent. Les amendes récemment infligées par la CNIL pour les cookies démontrent que les entreprises, implantées au sein de l’UE ou ciblant des personnes concernées européennes, n’ont plutôt pas intérêt à négliger l’analyse de conformité de leurs cookies. Il reste trois événements majeurs liés à 2020 à prendre en considération pour toutes les organisations qui traitent des données à caractère personnel. Les conséquences pour les organisations de l’invalidation du Privacy Shield par la Cour de Justice de l’UE (voir Arrêt Schrems II) rendue le 16 juillet 2020 n’ont pu être clarifiées qu’en novembre 2020 par le European Data Protection Board (EDPB). De la même manière, les organisations doivent se préparer aux changements induits par le Brexit. Les professionnels du secteur et les organisations doivent s’attendre à des amendements à l’accord UE-RU dans les 6 mois à venir. Le dernier élément toujours à l’agenda des autorités et des organisations est la conciliation entre la gestion de la crise sanitaire de la COVID-19 et le respect des données à caractère personnel. Ceci constitue un élément ayant soulevé des débats d’ordre philosophique, avec de surcroît un impact sur les fondements mêmes de la sûreté (médicale et en matière de confidentialité).

Pour plus d’informations, cliquez ()