• RGPD : Le kit de sur­vie

L'Informaticien - - SOMMAIRE -

IL N’EST JA­MAIS TROP TARD POUR BIEN FAIRE. SI À LA DATE FA­TI­DIQUE DU 25 MAI VOUS N’ÊTES PAS CONFORME, RIEN NE VOUS EM­PÊCHE D’EN­GA­GER LA DÉ­MARCHE. POUR VOUS AIDER À DÉ­MAR­RER, VOI­CI UN KIT DE SUR­VIE OU DE DÉ­MAR­RAGE RA­PIDE AVEC AR­NAUD DE CHAMBOURCY, PRAC­TICE MA­NA­GER RGPD CHEZ UMANIS.

Les en­tre­prises sont en­trées dans la der­nière ligne droite pour se confor­mer à la ré­gle­men­ta­tion sur la pro­tec­tion des don­nées per­son­nelles. Toutes ? Pas sûr ! Les chiffres des dif­fé­rentes études pa­rues jus­qu’à main­te­nant ne sont pas vrai­ment ras­su­rants sur ce point. Un peu moins d’un tiers des en­tre­prises se­raient prêtes à la fin mai. Pour le reste, le flou est as­sez com­plet sur l’état d’avan­ce­ment dans les pro­jets et le pro­fil bas est ce­lui le plus sou­vent adop­té pour ne pas se faire re­mar­quer et épin­gler par l’au­to­ri­té de ré­gu­la­tion en charge du RGPD, la Cnil. Nous avons échan­gé avec un spé­cia­liste qui donne ici une feuille de route per­met­tant de ré­agir et d’en­ta­mer ra­pi­de­ment la dé­marche de mise aux normes. Ne rien faire se­rait de toute fa­çon le pire. La Cnil a in­di­qué vou­loir être com­pré­hen­sive pour ceux ayant en­ta­mé la dé­marche, et la bonne foi se­ra im­por­tante, mais ne comp­tez pas trop sur sa man­sué­tude pour la simple rai­son que ce rè­gle­ment est eu­ro­péen et qu’il doit s’ap­pli­quer de la même ma­nière dans l’en­semble de l’Union Eu­ro­péenne.

Com­men­cer par… le dé­but !

Ar­naud de Chambourcy est as­sez di­rect. Pre­mière ques­tion : « Est- ce que mes don­nées sont sé­cu­ri­sées dans mon SI et dans mes lo­caux ? » Pour lui, il faut re­tour­ner aux ba­siques de la ques­tion avant d’en­tre­prendre quoi que soit. Ain­si pré­co­nise- t- il de vé­ri­fier la sé­cu­ri­té phy­sique des lo­caux, puis en­suite celle mise en place sur les postes de tra­vail avec une sen­si­bi­li­sa­tion des col­la­bo­ra­teurs et la mise en place d’une charte de bonne conduite ou la ges­tion des ha­bi­li­ta­tions. Il conseille de chif­frer les pièces jointes des mails ou les mails eux- mêmes. Il ajoute : « Il existe plein de pe­tits ou­tils gra­tuits pour le faire. Ce­la per­met d’évi­ter cer­taines fuites de don­nées. Ce n’est pas la so­lu­tion mi­racle. Il est pos­sible aus­si d’écou­ter ou de snif­fer les es­paces de tra­vail par­ta­gés pour re­pé­rer les uti­li­sa­tions no­cives. » Le but de tous ces pro­ces­sus est de pro­té­ger les don­nées.

Un consen­te­ment uni­voque et éclai­ré

« Le risque in­ter­vient dès que vous êtes vi­sible. » Tous les élé­ments du site in­ter­net doivent être pro­té­gés du ban­deau au co­okie et les condi­tions

gé­né­rales d’uti­li­sa­tion et de vente doivent être claires. « Le prin­cipe de la fi­na­li­té de la col­lecte doit être bien dé­fi­ni et le consen­te­ment doit suivre cette in­for­ma­tion. » Ce­la fait clai­re­ment par­tie de la check- list dans toutes les en­tre­prises. Vient en­suite l’étape de la re­la­tion avec les sous- trai­tants, les four­nis­seurs com­mer­ciaux, les par­te­naires. Les contrats doivent être re­vus pour com­por­ter cer­taines clauses qui prennent en compte la ges­tion des don­nées à ca­rac­tère per­son­nel et que le tiers af­fiche bien la col­lecte pour vous, en par­ti­cu­lier si vous êtes le res­pon­sable du trai­te­ment des don­nées col­lec­tées. Ce­la doit être clair pour l’uti­li­sa­teur fi­nal. Il faut y ajou­ter les règles de sé­cu­ri­té prises par le sous- trai­tant pour as­su­rer les don­nées.

En­core loin du but !

Si après fait tout ce­la, vous pen­sez être près du but et de la confor­mi­té avec le RGPD, mo­dé­rez votre en­thou­siasme car un long che­min reste à faire ! Ar­naud de Chambourcy in­dique que c’est à ce mo­ment que vous al­lez « en­trer dans le dur en fai­sant l’état des lieux de la confor­mi­té et la car­to­gra­phie des trai­te­ments » . Com­pa­ra­ti­ve­ment aux étapes pré­cé­dentes, vous en­trez dans un pro­cess plus clas­sique et cer­tains points de la loi In­for­ma­tique et Li­ber­té ou de la loi de 1995 vont vous aider à vous rap­pro­cher de la confor­mi­té. Ain­si le prin­cipe de mi­ni­mi­sa­tion des don­nées présent dans le texte doit vous faire vous in­ter­ro­ger sur le pour­quoi vous conser­vez et col­lec­tez toutes ces don­nées. Se mettre à la place du client est sou­vent la bonne dé­marche.

Un tra­vail de four­mi

In­ter­ro­gé sur la cons­truc­tion des re­gistres évo­qués dans la loi, Ar­naud de Chambourcy le confirme : « Oui, ce tra­vail est long et consom­ma­teur de temps mais il est le moyen de dé­mon­trer que le trai­te­ment est conforme au texte. » Il s’agit là de do­cu­men­ter le trai­te­ment ef­fec­tué avec sa fi­na­li­té, les mi­cro- trai­te­ments, les pe­tites ma­ni­pu­la­tions qui in­ter­viennent dans de nom­breux trai­te­ments quo­ti­diens comme l’en­voi d’une fiche de paie. « Ce­la doit être réa­li­sé de ma­nière as­sez fine, si­non vous n’avez pas la ca­pa­ci­té de voir où sont les brèches pos­sibles. »

Se faire aider

Ar­naud de Chambourcy plaide évi­dem­ment un peu pour sa cha­pelle, mais se faire aider per­met de ga­gner du temps et sur­tout de s’en­tou­rer de com­pé­tences ju­ri­diques et tech­niques par­fois dif­fi­ciles à trou­ver en si peu de temps. Tous les in­ter­lo­cu­teurs dans les en­tre­prises de ser­vices contac­tées dans le cadre de ce dos­sier ont in­di­qué être sol­li­ci­tées tous les jours sur la ques­tion et que les res­sources com­mencent à man­quer pour faire face à toutes les op­por­tu­ni­tés.

Un im­pact sur l’or­ga­ni­sa­tion

Le tra­vail de mise en confor­mi­té peut aus­si avoir des im­pacts sur l’or­ga­ni­sa­tion. Le pre­mier est la dé­si­gna­tion d’un DPO, Da­ta Pro­tec­tion Of­fi­cer. Ce­lui- ci doit avoir les moyens et res­sources né­ces­saires pour ef­fec­tuer sa tâche et me­ner à bien le chan­tier vers la confor­mi­té. Pra­ti­que­ment, de nom­breux cor­res­pon­dants In­for­ma­tique et Li­ber­tés pré­sents dans cer­taines en­tre­prises sont sou­vent le plus à même de rem­plir ce rôle. Il existe de nom­breux guides et pos­si­bi­li­tés de se faire conseiller ; en pre­mier lieu au­près de la Cnil, qui dé­livre conseils et do­cu­men­ta­tion. Le texte n’est pas en­core en ap­pli­ca­tion et cer­tains points de la ré­gle­men­ta­tion se­ront pré­ci­sés par la ju­ris­pru­dence mais les prin­cipes comme le droit à l’ou­bli, la por­ta­bi­li­té des don­nées, le consen­te­ment éclai­ré ne souf­fri­ront pas d’ex­cep­tion en Eu­rope. Au­tant en­vi­sa­ger le pro­jet comme une chance et cer­taines en­tre­prises qui nous ont dé­cla­ré être prêtes à la date fa­ti­dique voient la dé­marche comme un atout concur­ren­tiel face à des com­pé­ti­teurs moins avan­cés. L’avan­tage n’est que tac­tique et ne du­re­ra que le temps que les en­tre­prises soient au ni­veau, mais ce­la per­met de sai­sir des op­por­tu­ni­tés. ❍

« La cons­truc­tion des re­gistres est un tra­vail long et consom­ma­teur de temps, mais c’est le moyen de dé­mon­trer que le trai­te­ment est conforme au texte » Ar­naud de Chambourcy, Prac­tice Ma­na­ger RGPD chez Umanis.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.