Gouvernance de données : ce que le RGPD va changer

Gouvernance de données : le RGPD, qu’est-ce-que c’est ? 

25 mai 2018 : le Règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur

Cela fera franchir à votre entreprise un cap dans la gouvernance de données. Bien ou mal. En effet, ce règlement renforcera les dispositions de la loi Informatique et Libertés du 6 janvier 1978 et la loi pour une République numérique du 8 octobre 2016.  

Juridiquement, il s’agit d’un texte européen qui n’aura pas besoin d’être traduit dans les différentes législations nationales. Il s’appliquera directement dans chaque état de l’Union. Son objectif : ” protéger les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel “. 

 Sa particularité : il impose aux entreprises de mettre en oeuvre une gouvernance de données spécifiques. Il s’agit de toutes les données à caractère personnel qu’elles captent, détiennent ou traitent. 
Le risque à ne pas mettre en œuvre cette gouvernance de données et à ignorer ces obligations ? Des sanctions administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial ! 

Autant dire qu’il est urgent de lancer un plan d’action si ce n’est pas déjà fait. 

Qu’appelle-t-on données personnelles ? 

 Il s’agit de toute information qui se rapporte à une personne physique, qu’elle soit identifiée ou tout simplement identifiable, et ce, même indirectement par un identifiant chiffré ou un recoupement d’informations par exemple. 

Exemples : nom, prénom, adresse ou tout type de coordonnées, numéro identifiant, données de localisation, informations relatives à la vie professionnelle, habitudes de consommation, etc. Même une adresse IP est considérée comme une donnée personnelle.  

Les  données nécessaires pour gérer le personnel de l’entreprise ou les fichiers de suivi des fournisseurs et des contacts personnes physiques correspondants sont des données personnelles. Elles doivent entrer, elles aussi, dans le champ de la gouvernance de données. 

La philosophie de la loi est claire : même dans le monde professionnel ou encore dans le cadre de relations économiques ou commerciales entre des entreprises, les personnes physiques disposent du droit à la protection de leurs données à caractère personnel !  

 Trombinoscope et annuaire d’entreprise, fichier des fournisseurs, gestion de la comptabilité, gestion des clients et des opérations commerciales, de fidélisation et de prospection, gestion des outils informatiques, lutte contre la fraude (interne / externe), surveillance (vidéo, alarme, contrôle des accès, …). Tous ces fichiers vont devoir être en règle. 

Même les traitements « manuels » sont concernés dès l’instant où les données sont appelées à figurer dans un fichier, défini comme un ensemble structuré de données accessibles selon des critères déterminés (que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique). Tout recopier dans des carnets à spirale ne relèvera donc pas de la bonne gouvernance de données. 

Seuls sont exclus du périmètre du règlement les traitements suivants :  

– les traitements mis en œuvre dans le cadre d’une activité strictement personnelle ou domestique, et donc sans lien avec une activité professionnelle ( par exemple : le répertoire téléphonique d’un téléphone mobile personnel  n’entre pas dans le périmètre, en revanche s’il est utilisé à des fins professionnelles il y entre);  
– les traitements mis en œuvre par les autorités compétentes pour détecter des infractions pénales;  
– les traitements effectués dans le cadre de la  sécurité nationale ;  
– les traitements mis en œuvre par les Etats membres dans le cadre de leurs activités ayant trait à la politique étrangère et de sécurité commune de l’Union.  

Et les données anonymisées ? 

Les données anonymisées n’entrent pas dans le champ d’application du règlement.  

De quoi s’agit-il ?  De données qui ne permettent pas, et ce de façon réellement irréversible, de retrouver l’identité de quelqu’un. A l’inverse, les données pseudonymisées (on remplace une identité par un pseudo) doivent être considérées comme des données à caractère personnel et sont soumises au règlement .  

Ce qui est préconisé 

Toutes les entreprises, institutions, organes et organismes de l’UE traitant des données à caractère personnel, avec un processus automatisé ou non automatisé, entrent donc dans le champ d’application du règlement. 

Les organisations devront désigner un responsable des données personnelles qui sera en charge de piloter leur conformité. Ce « DPO  » (Data Protection Officer, comme on le dit le plus souvent aujourd’hui) pourra être nommé en interne ou externalisé auprès d’un cabinet professionnel. 

Il ou elle devra faire le lien entre l’entreprise et les organes de contrôle et devra : 

  • recenser toutes les données personnelles 

Il faudra tenir un registre qui détaillera les différents traitements et leur gestion : qui est responsable du traitement, s’agit-il de données sensibles, le lieu d’hébergement des données, le temps de conservation, leur finalité … 

Ce registre devra être tenu à jour et mis à  la disposition des instances de contrôle. C’est une véritable cartographie des données qu’il conviendra de mettre en place, permettant de vérifier aussi la conformité de leur gestion avec la loi et de suivre la gestion des données à risques. 

  • prendre les mesures nécessaires pour la conformité 

Le CDO devra mettre en place les mesures nécessaires pour gérer les données à risque, c’est-à-dire celles qui ne sont pas conformes aux obligations imposées par les textes. 

Il devra alors mener une étude d’impact approfondie afin d’estimer le risque et déterminer les mesures à mettre en place  pour éliminer ces risques (éléments à protéger, renforcement du consentement …). 

  • assurer le suivi de la conformité 

Enfin, il devra organiser le suivi, la sensibilisation, et le maintien de cette conformité. 

En d’autres termes, la sensibilisation de toutes les équipes internes lui incombe. 
Il devra aussi faire remonter les informations, traiter les réclamations et vérifier la compatibilité des échanges avec les sous-traitants de l’entreprise qui doivent, eux aussi, se conformer au règlement. 

Ainsi, des mesures telles que des mailings envers les clients ou les sous-traitants seront à mettre en oeuvre au plus vite, si ce n’est déjà fait. Tout comme un retro-planning des process à mettre en place. 

Des solutions dès la conception 

Les entreprises seront en outre  tenues de pouvoir démontrer leur conformité au travers de leurs processus, de leur organisation, des systèmes d’information et des compétences de leurs équipes. 

Les développements de produits et services devront ainsi intégrer la protection des données dès leur conception (privacy by design).  

L’usage que feront les entreprises des données personnelles devra être communiqué aux personnes concernées et elles devront obtenir leur consentement (notamment par la généralisation du double optin). 

Cet aperçu rapide donne une idée de l’ampleur des travaux à mener pour atteindre le bon niveau de maîtrise de ces données personnelles.  

En France, c’est bien sûr la Commission nationale informatique et libertés (CNIL) qui veillera à la mise en application du règlement par les entreprises. Elle pourra appliquer des sanctions.  

D’un point de vue opérationnel, les sanctions pourront consister en la suspension, voire la suppression de l’autorisation de traitement des données. En plus des amendes évoquées ci-dessus.  

Vous vous demandez comment suivre ce dossier RGPD et cette question de la gouvernance de données, dans votre entreprise, ou dans les entreprises dans lesquelles vous êtes amené(e) à travailler ? 

Nous n’avons pas fini, sur ce blog, de creuser cette question de la data governance.

Alors si vous n’êtes pas abonné à notre newsletter “En direct des bacs à sable”… réparez vite cette erreur. Et abonnez-vous au plus vite.

Découvrez les trésors des bacs à sable, cliquez sur l’image….